본문 바로가기
분석해보까?

[PDF 취약점] Adobe Reader Javascript Printf Buffer Overflow Exploit

by 잡다한 처리 2009. 3. 11.
반응형


샘플이 손에 들어와서 한번 분석을 해보까 했는데, 첨부터 짜증이;;
암튼 하나씩 풀어봐야겠다.

파일을 까보면, 대충 이런 형식으로 되어있다.

자세한 PDF Stram Object에 대해서는 링크로 대체하니, 참고 할 분들은 참고 하시길
http://blog.didierstevens.com/2008/05/19/pdf-stream-objects/


실제 pdf 동작시 이 스크립트가 실행하기 위해서는 너무 많은 시간이 걸릴 것 같아서 패스~
중요한건 파일을 다운로드 하는 주소를 알아오는 것에 목적을 두자 ㅋ

자 위의 내용들을 디코딩 하면 다음과 같은 USCII 스트링으로 변환할 수 있다.
빨간박스 내용은 실제 동작시킬 스크립트이며, 파란박스의 내용은 Printf를 이용하여 오버플로우를 발생 시키는 코드이다.

Printf 오버플로우에 대한 Expoit코드는 다음 링크를 참조하시길...
http://www.milw0rm.com/exploits/7006


USCII 스트링을 HEX값으로 변환 시, 다음 주소를 얻을 수 있다.
(주소를 수정하지 않으니, 다운로드 하는 분들은 주의하시기 바람 ㅋㅋ 아직 먼지 모름 ㅋㅋ)


다음 주소는 load.exe를 다운로드 시키는 것을 확인 하였다.


아직 파일에 대한 분석은 되지 않았으며, 탐지하는 백신이 그리 많지 않다.


댓글