易搜百度地图优化 让客户更容易搜索到您!

立即致电:4000-340-360 体验易搜百度地图优化为您带来的高效服务。

当前位置:易搜网络技术公司 >> 百度优化 >> 百度地图优化 >> 浏览文章

Winrar报紧张漏洞,可实行恶意程序包含360rar、好压等

文章标签:紧张,漏洞,实行,恶意,程序,程序包,包含

1、漏洞概述

  WinRAR 是一款功能壮大的压缩包管理器,它是档案工具RAR在Windows环境下的图形界面。2019年 2 月 20 日Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需行使此漏洞构造恶意的压缩文件河北人事考试网站,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。

  该漏洞是因为 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在 2006 年被编译,没有任何的基础珍爱机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时,因为没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码实行。

影响版本:

  WinRAR < 5.70 Beta 1

  Bandizip < = 6.2.0.0

  好压(2345压缩) < = 5.9.8.10907

  360压缩 < = 4.0.0.1170

漏洞危害:

  通过这个漏洞黑客可以将恶意程序放入用户启动项,当目标电脑重新启动时获取目标主机的权限。替代任意dll文件或覆盖任意配置文件。

漏洞细节: 

        https://research.checkpoint2164/extracting-code-execution-from-winrar/

  漏洞重要是由Winrar用来解压ACE压缩包采用的动态链接库unacev2.dll这个dll引起的。unacev2.dll中处理filename时只校验了CRC,黑客可以通过更改压缩包的CRC校验码来修改解压时候的filename来触发这个Path Traversal漏洞。但是Winrar自己检测了filename,有一些限定并且通俗用户解压RAR文件时候不能将我们恶意的Payload解压到必要System权限的文件夹。所以当用户将文件下载到默认的C:\Users\Administrator\Downloads 目录下时金王子驾驶室总成,我们通过构造

 

    C:\C:C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\test.exe

  经过Winrar的CleanPath函数处理会变成

    C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\test.exe

  其中C:会被转换成当前路径seo优化,假如用Winrar打开那么当前路径就是C:\Program Files\WinRAR,要是在文件夹中右键解压到xxx\那么当前路径就是压缩包所在的路径。

  当用户在文件夹中直接右键解压到xx那么我们恶意的payload解压地址就会变成

 C:\Users\Administrator\Downloads../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\test.exe