Pagi gan, postingan ini gw dapet dari forum => gw praktekin & gw posting di sini, bedanya dia pake BT gw pake Backbox. ok langsung saja
Bahan :
# pdfid
# pdf-parser
# pdftk ( apt-get pdftk)
pertama gw analisa file pdf yang tidak berisi trojan, sekalian test tools apakah work / tidak. gw coba cek pdf yg gw download dari website black-arch
nah di langkah ini kita tahu, pdf'nya pake versi 1.5, next
skrg gw coba cek value & bahasa pendukung file guide-blackarch.pdf.
nah bisa dilihat, di baris /JS & /JavaScript "0" , alias tidak ada script java yang nyelip-nyelip di file pdf'nya. next
skrg kita analisa file yang berisi trojan, di sini gw pake metasploit, exploit yg dipake :
# exploit/windows/browser/adobe_media_newplayer
show options , dan sesuaikan sendiri dengan host & port kalian. lalu unduh file'nya
disini gw cek file.pdf yg gw buat pakai metasploit
# python pdfid.py pdf_trojan.pdf
dan sudah pasti berisi trojan ^_^ . coba pake strings untuk menampilkan script Java dalam bentuk text
# string pdf_trojan.pdf
gw coba pake strings, dan .. output diatas menampilkan tidak adanya text java script, mungkin ini upaya metasploit untuk meng-enkripsi text java tersebut
next, pake pdf-parse
# python pdf-parse.py pdf_trojan.pdf
pakai pdf-parser'pun text java script'nya tidak terlihat, metasploit emang bener-bener keren ^_^ , next coba cara terakhir, disini gw coba men-duplikat file pdf yg ada trojan'nya tadi, menghapus semua pengkodean yg ada di pdf_trojan.pdf dan menyalin'nya ke dokumen baru pdf_trojan2.pdf
# pdftk pdf_trojan.pdf output pdf_trojan2.pdf uncompress
duplikat berhasil di buat, gw coba pakai strings lagi untuk menampilkan script java ke mode text
# strings pdf_trojan2.pdf
DOR ! , berhasil tuh ^_^ . sekian postingan dari saya semoga bermanfaat & lebih berhati-hati jika men-download file dari website" ga jelas ^_^ . Arigatou ~
Post a Comment
Post a Comment