查看: 13356|回复: 4

WinRar 4.20 – 文件扩展名欺骗(0Day)

[复制链接]
  • TA的每日心情

    2020-12-4 20:42
  • 签到天数: 23 天

    [LV.4]偶尔看看III

    发表于 2014-3-28 15:03:15 | 显示全部楼层 |阅读模式
        WinRar 是常用的压缩与解压缩软件工具。它能将数据压缩成.rar或则.zip格式的包。这篇文章就是给大家呈现Winrar 4.20的一个最新漏洞(0 day),下面是关于zip文件的相关简要介绍。

    [C] 纯文本查看 复制代码
    Offset
    
    Bytes
    
    Description[25]
    
    00 4 Local file header signature = 0x04034b50 (read as a little-endian number)
    04 2 Version needed to extract (minimum)
    06 2 General purpose bit flag
    08 2 Compression method
    10 2 File last modification time
    12 2 File last modification date
    14 4 CRC-32
    18 4 Compressed size
    22 4 Uncompressed size
    26 2 File name length (n)
    28 2 Extra field length (m)
    30 n File name
    30+n m Extra field
    
    (the information taken from wiki - [url]http://en.wikipedia.org/wiki/Zip_[/url](file_format) )
    
    -------------------------------------------------------------------------------------------------


    通过文件格式的描述符中,我们可以看到,偏移30的地址指向压缩文件的名字。当我们尝试用WinRar 4.20将文件压缩为"zip 格式"文件时,文件结构看起来没变,但是WinRar添加了一些其独有的文件属性参数。

    WINRAR添加额外的“文件名”到压缩文件的“文件名”中。进一步的分析表明,第二个“文件名”是文件的真实文件名,当第一个“文件名”出现在WinRar的 GUI窗口时,WinRar会把第一个“文件名”分配给解压后的文件作为文件名。

    这种行为可以很容易地变成一个非常危险的安全漏洞。

    假如恶意人员发布一些所谓的txt文本文件,例如“README.TXT”或者PDF格式文件,如“VirusTotal_ScanResults.pdf”,或者更诱人的文件,如“海天盛宴高清图片.jpg”黑客。受害者会因为放松警惕,而运行恶意程序。

    相关POC可以参考如下链接:

    http://an7isec.blogspot.co.il/20 ... -spoofing-0day.html

    From:http://www.exploit-db.com/papers/32480/

    评分

    参与人数 1贡献 +10 收起 理由
    TNT + 10 感谢分享

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    开心
    2020-4-29 10:22
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2014-3-28 17:14:45 | 显示全部楼层
    这回流弊大了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-3-28 23:29:32 | 显示全部楼层
    == 这漏洞流弊了。  我基本都是直接双击压缩包里面的txt文件
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2015-11-9 16:43
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2014-3-29 09:00:05 | 显示全部楼层
    还是感觉7z好用
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-6-6 13:33
  • 签到天数: 53 天

    [LV.5]常住居民I

    发表于 2014-3-29 11:24:47 | 显示全部楼层
    4.2版本亲测确实可以,不过好鸡肋,,只有4.10和4.2支持这个漏洞,,其他的压缩软件直接当作jpg文件执行的
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-27 21:12 , Processed in 0.021716 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部