来源:中关村在线

对于ACDSee的大名，想必各位都不陌生。不过最近ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在处理XBM/XPM/PSP/LHA文件时出现缓冲区溢出漏洞，如果用户打开了带有超长字符串的XBM/XPM/PSP/LHA文件的话，就可能触发这些溢出，导致执行任意指令。

    本次提到的漏洞影响的版本是ACDSee Photo Manager 9.0和ACDSee Photo Manager 8.1。我们下面就具体分析一下漏洞利用的全过程。

    漏洞初显

    假设在一个局域网中，终端上装有ACDSee 8.1。则这个漏洞就可以派上用场了！毕竟对于这类软件，用户更新较少，对于漏洞的利用率还是很高的。

ACDSee Pro 8.1

    首先利用ACDSee XPM文件溢出利用工具，将其放到一个文件夹中，然后打开“记事本”，在其中输入如下的代码：acdsee.exe 1 test.xpm，然后保存为一个批处理文件1.bat，和利用工具acdsee.exe放到一个文件夹中。现在双击运行1.bat，就会在这个目录下面生成一个名字为test.xpm的文件了，这个XPM文件是默认被ACDSee程序关联打开的。

    提醒用户，使用这个bat文件是为了执行命令的方便，你也可以在cmd中进入到这个目录中，然后执行“acdsee.exe 1 test.xpm”，效果是一样的。

    我们可以先在终端上进行测试，运行XPM文件，打开ACDSee窗口后发现其处于崩溃状态。这就是溢出的结果了，下面只有在“任务管理器”里把ACDSee终结了，然后“命令提示符”窗口，在其中输入“netstat -an”命令来查看本机的端口开放情况，如果4444端口打开了，并且处于监听状态，可以说万事俱备。把这个文件发到共享区中，如果其它用户下载并开启了程序，则漏洞入侵就开始了。

4444端口打开了，并且处于监听状态

    终端陷阱

    静待一段时间，如果幸运的话，用扫描器扫描后会发现有4444端口开启的终端（如图6），下面就该用NC来连接肉鸡以实现控制了。打开“记事本”程序，在其中输入如下的代码：nc 192.168.0.151 4444 （192.168.0.151是目标终端的IP地址，4444就是它打开的待接端口），然后保存为一个批处理文件2.bat，和nc.exe放在同一个目录里。

端口扫描