深入浅出实战攻防恶意PDF文档

核心提示： 当打开我们的PDF文档的时候，间接对象7所规定的动作将被执行，深入浅出实战攻防恶意PDF文档(7)，我们可以规定一个URI动作，一个URI动作能够自动地打开一个URI， 因此要想利用该漏洞，我们需要编写我们的程序(shellcode)，在我们这个例子中是一个URL：70obj/Type/A

当打开我们的PDF文档的时候，间接对象7所规定的动作将被执行。我们可以规定一个URI动作。一个URI动作能够自动地打开一个URI，在我们这个例子中是一个URL：

7　0　obj

/Type　/Action

/S　/URI

/URI　(https://DidierStevens.com)

endobj

ss　

七、内嵌的 JavaScript

PDF语言支持内嵌的 JavaScript。然而，这个JavaScript引擎在与底层操作系统的交互方面能力非常有限，所以根本没法干坏事。 举例来说，嵌入到一个PDF文档的JavaScript代码不能访问任何文件。所以，恶意PDF文档必须利用某些安全漏洞才能摆脱JavaScript引擎的限制来执行任意的代码。我们可以使用下面的JavaScript动作，在PDF文档打开时添加并执行一些JavaScript脚本：

7　0　obj

/Type　/Action

/S　/JavaScript

/JS　(console.println("Hello"))

endobj

下面的代码将执行一个向JavaScript调试控制台显示Hello的脚本：

console.println("Hello")

八、安全漏洞的利用

去年，许多恶意PDF文档利用了PDF的util.printf方法的JavaScript安全漏洞来发动攻击。Core Security Technologies发表了一个通报，其中含有一个PoC，如下所示：

var　num　=　12999999999999999999888888.....

util.printf(„%45000f”,num)

当这个JavaScript将被嵌入到一个PDF文档并在（在 Windows XP SP2上使用Adobe Acrobat Reader 8.1.2）打开的时候，它将试图执行地址0x30303030的代码而造成访问越界。 这意味着，通过缓冲区溢出，执行PoC将跳转至地址0x30303030(0x30是ASCII字符0的十六进制表示法)（即PoC一执行，控制流程（系统控制权）就交给0x30303030处的指令）。 因此要想利用该漏洞，我们需要编写我们的程序(shellcode)，当然该程序需要从0x30303030处开始执行。