最近作业中研究APT攻击,了解到2011年前后披露的LURID-APT,其中敌手利用了各种版本的文件查看器的漏洞实现攻击。CVE-2010-2883就是其中被利用的一个adobe reader的漏洞。特此复现,更好的研究和防范APT攻击。
本文仅仅是对相关漏洞利用的学习记录,请各位合法合规食用!
Adobe Reader 8.24-9.3.4的CoolType.dll库在解析字体文件SING表格中的uniqueName项时存在栈溢出漏洞,用户打开了特制的PDF文件可能导致执行恶意代码,可实现比如进行远程控制等。
(1)复现环境
Kali linux虚拟机(ip:192.168.146.129)
WindowsXP 虚拟机(ip:192.168.146.132)
利用软件版本:Metasploit6.0、Adobe Reader 9.3.4
(2)复现过程
首先利用msf框架搜索相关漏洞的利用手段,选用相关工具
查看需要的配置,并酌情进行修改
输入exploit进行攻击利用,此时在某目录下生成用于攻击的携带木马的pdf文件
接下来,在msf中开启监听,等待反弹shell回连
然后,编写钓鱼邮件,引诱目标用带有漏洞的软件打开恶意pdf文件
在靶机下载并打开该pdf文件
下载后用Adobe Reader 9.3.4打开。同时关注Kali Linux虚拟机监听情况。
选中第二个session
后渗透阶段
成功getshell!
