记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

WinRAR的文件扩展名欺骗

2014-04-02 16:05

1) Winrar是最常见的用于压缩和解压数据的一个应用,该应用压缩RAR或ZIP格式的数据。

本文将呈现我在WINRAR4.20版发现的一个新的漏洞。(其他版本可能容易受到攻击)
这里是zip文件格式的简易概要:

1.png

因此,通过该文件格式的描述符中,我们可以看到,位在偏移量30被称为压缩文件的文件名。
当我们试图用WINRAR压缩“ZIP格式”的文件,文件结构看起来一样,但是!WINRAR增加了自己的几个属性。
例如,让我们看看一个包含数据“AAAAA”称为“TEST1.TXT”的文本文件,它被WINRAR压缩为ZIP格式后:

2.png

2) 在上面的示例中,可以注意到,WINRAR添加额外的“文件名”的压缩文件。
进一步的分析表明,第二个名字是该“文件名”的文件,该WinRAR会给予输出未压缩的文件,而第一个名字是出现在WinRAR的图形用户界面窗口的名称。

问:如果第一个名称和最后一个名称不同会发生什么?
答:WinRAR会显示伪造的文件名,而解压后,用户将得到真正的文件名。

这种行为可以很容易地变成一个非常危险的安全漏洞。
想想看,一个黑客发布一些所谓的“Readme.txt”“文本”文件信息,甚至PDF如“VirusTotal_ScanResults.pdf” ,或者更诱人的文件,如“My Girl Friend new bathing suit.jpg”。

想想一个无辜的用户,将打开的不是自述文件,PDF格式的书,文件或有趣的形象,而是他将得到一个讨厌的木马。
因此,让我们开始,建立一个的POC:

1:首先我们要创建一个有趣的文件,将弹出“PWNED”的消息。

3.png

2:第二,我们将用WINRAR通过选择“WINZIP”的方法压缩它: 

4.png

3:最后,我们将用十六进制编辑器打开ZIP文件,只改变第二个名字,我们选择了假名字(MyPrivateImage.jpg),并将其保存为ZIP文件。

5.png

其结果将是一个讨厌的WINRAR文件,显示你的图像文件,当你双击它,有趣的二进制文件将执行:

6.png

这是winrar本身的一个大问题,但是那些不是双击打开winrar的人呢?

是的……“提取在这里”的人:
如果他们将看到一个名为“MyPrivateImage.jpg”变成“MyPrivateImage.exe”的文件,他们将开始担心:)
不用担心,因为我们可以结合为Windows其他已知的漏洞。如 “Unicode的RLO欺骗”。在这种技术中,我们使用RLO Unicode字符。

(阅读在这里:http://www.fileformat.info/info/unicode/char/202e/index.htm)。

这个字符识别很容易将文件“Fede.jpg.exe”混淆成“Fedexe.. JPG”。这两个漏洞的组合,可以永远让你近乎完美的文件欺骗。
当你看它在WinRAR,你会看到FEDEX.jpg,而当你提取它,你会看到Fedexe.. JPG
无论你在那里运行这个文件,你将得到PWNED !

【via@An7i / 邪红色信息安全小组

文中若未特别声明转载请注明来自:91ri.org
知识来源: www.91ri.org/8529.html

阅读:126741 | 评论:0 | 标签:ShellCode&Poc 0day 最新漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“WinRAR的文件扩展名欺骗”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云