欢迎光临
我们一直在努力
"

WIN RAR文件欺骗漏洞

Winrar是一个最常见用于压缩和解压缩的一个应用.该应用程序能够压缩成:rar格式和ZIP格式,本文将提出一个WIN RAR4.20新漏洞(其他版本也可能会也存在).

这里是一个简单ZIP文件格式介绍

1403280037d3b3b823ca200a6b.jpg.thumb_

因此,通过该文件格式描述得知,在位于偏移值为30被称为压缩文件名。当我们试图将压缩文件用WINRAR打开查看“ZIP格式一样,但是WINRAR增加自己几个属性。

例如,让我们看看一个一个包含数据如图的命名为“legendsec.txt”文本文件,用winrar压缩为ZIP

 1403280039545d4ba1cc223a2f

 14032800385db94c09320d2675.png.thumb_
在上面示例中,可以注意到,WINRAR为压缩文件添加额外的文件名

进一步分析表明,第二个名字WINRAR给予输出未压缩文件的文件名,而第一个是会出现在WINrarGUI窗口的名称。

这个时候有人产生问题,问:那么会发生什么,两个名字有何不同?

答:在WINrar上面会显示伪造的文件名,而解压缩,用户将真正的文件名。

这里是不是很多人恍然大悟,这种行为可以很容易变成一个非常危险的安全漏洞。

这里我们来设想一下,黑客将发布一些文档比如“Redme.txt”,或者PDF格式,当然文件名可以更加诱人一点点如“XXX女星最新艳照.JPG”

想想看一个小白,将其打开,得到不是自述文件,PDF的电子书和一些其他有趣的图片,而是一个木马……

因此,我们开始制作一个猥琐的POC

1.首先我们制作一个我们需要的文件,这里我CMD.exe来代替吧。

来代替吧。

 1403280038fadb2bfa1b39d8be

9 分钟前

 

2.我们创建一个ZIP压缩文件

 14032800385a9c5dbddc6701f5.png.thumb_

3.最后通过十六进制编辑器(WinHexC32之类)只修改第二个名字,这里我选择用“XXX银行数据.xls”,将其保存为ZIP文件。

 1403280038719a4a7427e44160

4.最后其结果就是将用WINRar,显示如图,当你这样双击的时候程序就运行了。(当然,我相信很多人都有这种习惯,不是么?)

 

 14032800386de045863dbabb77.png.thumb_

这本身是WINrar一个非常危险的行为,但是对于不是上述所说的人肿么办?也就是任何压缩文件都要解压在考虑是否打开的用户。

 14032800389e9b6f8a0e8636f5.png.thumb_

如图,这样不就露馅了么?淡定,不要紧张,我们可以结合已知的windows其他已知漏洞。

该漏洞被称为Unicode RLO欺骗相信很多人都不陌生。这样我们就可以很容易混淆windows解压出的文件了,比如“XXX艳照门.jpg.exe”通过混淆变成“XXX艳照门EXE.JPG”近乎完美的伪装。

PS如何应对这种伪装漏洞,就是将其WINRAR升级到最新版,但是根据目前所掌握的情况,新版WINRAR不太多基本都停留在老版本,我测试的4.20和最新版(其他版本各位自测),理论上是4.20以下版本通杀。

转载请注明: 转载自Legend‘s BLog

本文链接地址: WIN RAR文件欺骗漏洞



未经允许不得转载:Legend‘s BLog » WIN RAR文件欺骗漏洞

分享到:更多 ()

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

无觅相关文章插件,快速提升流量