在野“0day” PDF样本简单分析,可跟踪使用Google Chrome作为本地PDF查看器的用户

释放双眼,带上耳机,听听看~!

前天老外公开了个利用pdf在chrome上运行,可以导致信息泄露的0day漏洞样本  ,由于危害较小因此没有马上打补丁就发出来了。

目前该漏洞利用的在野样本一共有两类

一类如下


在chrome 打开该PDF样本后,脚本就已经执行

从抓包来看可以看到该样本只传了当前的文件所处的路径信息。


还有操作系统,浏览版本这类信息。


还有用户当前所处IP


http://idz23jwyc7t5157a24swy0annet8myaraf22tqi.burpcollaborator.net/

另一类样本的回传信息的C2域名为

unprotected-pdf.ds388b363d1ym0.r-lp.readnotify.com


因此该漏洞,可以用于前期信息搜集用,方便刺探web管理员的文件路径,或者一些目标的机器名称,以方便制订其他方案进行下一步的渗透测试。

而造成该漏洞的根源在于这个Javascript API

“this.submitForm()”

adobe中对该函数的定义是将表单提交到指定的URL

chrome这里应该是没有控制这个函数操作,从而自动加载了

因此理论上,可以按下面的示例去进行构造并在chrome中触发

(我没测试,你们可以试试)

其实我总感觉可以传更多东西,时间原因之后再看看。

自己换了个地址玩了玩,有兴趣的可以改改玩一下

https://github.com/blackorbird/chrome-pdf

忽然想了想,如果用这个洞,很可能会知道用户名是多少,因此配合winrar那个洞,然后写固定的用户名下的自启动释放路径,是不是攻击成功率会高很多。

解决方案

暂时不用chrome打开pdf

到4月份才有补丁,多多注意未知来源的PDF别在chrome打开即可。

IOC

54ff8899c86142bdf2dde6468ca17750

13090c4e8338fa2769a29356de72b306

58959ac247caf322c800616f3526828d

4eb84fee8e92685b6a789f1af5c732c7

6cfddeaf454995a0d6038363231f69a3

aa7a1c701e99f345b0e37aa52f895b79

c82dcf3998782306d71b1f360cc3f8a1

e1ae5658b61972bd173b669b8b6931dd

idz23jwyc7t5157a24swy0annet8myaraf22tqi.burpcollaborator.net/

unprotected-pdf.ds388b363d1ym0.r-lp.readnotify.com

在pdf阅读器支持的所有Javascript函数中以下函数在实际应用中,还是可以对用户进行钓鱼攻击从而执行代码的:

app.launchURL()、app.media.getURLdata()、app.alert()、app.execDialog()、doc.getURL

但是都得人工交互


点击下图可预览知识星球,更多情报咨询欢迎加入


最近金三银四,帮几个老板招一下人,详情请进入公众号入口,然后点击招聘汇总,即可出来文章,本入口和帖子长期更新,有需要的同学可以自行查看。



爆漏洞的链接👇

好看好看好看好看


本文源自微信公众号:黑鸟

人已赞赏
安全工具

信息追踪:跟踪你的鼠标移动的CSS

2019-10-16 10:37:07

安全工具

BITTER(蔓灵花)针对巴基斯坦和沙特阿拉伯发起了一波攻击

2019-10-16 10:37:11

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索