设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1434|回复: 1

WinRar 4.20 – 文件扩展名欺骗(0Day)

[复制链接]

 成长值: 50440

发表于 2014-3-29 02:49 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x

WinRar 是常用的压缩与解压缩软件工具。它能将数据压缩成.rar或则.zip格式的包。这篇文章就是给大家呈现Winrar 4.20的一个最新漏洞(0 day),下面是关于zip文件的相关简要介绍。

OffsetBytesDescription[2500 4 Local file header signature = 0x04034b50 (read as a little-endian number)04 2 Version needed to extract (minimum)06 2 General purpose bit flag08 2 Compression method10 2 File last modification time12 2 File last modification date14 4 CRC-3218 4 Compressed size22 4 Uncompressed size26 2 File name length (n)28 2 Extra field length (m)30 n File name30+n m Extra field(the information taken from wiki - http://en.wikipedia.org/wiki/Zip_(file_format) )-------------------------------------------------------------------------------------------------

通过文件格式的描述符中,我们可以看到,偏移30的地址指向压缩文件的名字。当我们尝试用WinRar 4.20将文件压缩为"zip 格式"文件时,文件结构看起来没变,但是WinRar添加了一些其独有的文件属性参数。

WINRAR添加额外的“文件名”到压缩文件的“文件名”中。进一步的分析表明,第二个“文件名”是文件的真实文件名,当第一个“文件名”出现在WinRar的 GUI窗口时,WinRar会把第一个“文件名”分配给解压后的文件作为文件名。


这种行为可以很容易地变成一个非常危险的安全漏洞。

假如恶意人员发布一些所谓的txt文本文件,例如“README.TXT”或者PDF格式文件,如“VirusTotal_ScanResults.pdf”,或者更诱人的文件,如“海天盛宴高清图片.jpg”黑客。受害者会因为放松警惕,而运行恶意程序。

相关POC可以参考如下链接:


http://an7isec.blogspot.co.il/20 ... -spoofing-0day.html

From:http://www.exploit-db.com/papers/32480/

                                                                                      资源采集于网上 如有侵权请联系管理员删除  邮箱:[email protected]


随遇而安
发表于 2014-4-5 00:21 | 显示全部楼层
不知该说些什么。。。。。。就是谢谢
随遇而安
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表