首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>入侵实例>文章内容
详解WINRAR的自解压跨站攻击漏洞
来源:www.vfcocus.net 作者:x140cc 发布时间:2009-01-01  

听许多人说WINRAR自解压格式的文件在安装界面上可以跨站,笔者亲自测试了一下,这个不能单单说是跨站了,本来还以为是个新出的漏洞呢,原来是WINRAR的本身缺陷,在其界面上可以支持任何HTML代码。详细的,我们看下文。

首先创建一个自解压格式的文件,来到下图的界面。

 

1.jpg
大小: 36.39 K
尺寸: 412 x 365
浏览: 0 次
点击打开新窗口浏览全图

 

然后切换到“高级”这个选项卡。我们看到个“自解压选项”,图2

 

2.jpg
大小: 32.24 K
尺寸: 410 x 364
浏览: 0 次
点击打开新窗口浏览全图

 

点击“自解压选项”来到如下图所示。

 

3.jpg
大小: 31.24 K
尺寸: 364 x 433
浏览: 0 次
点击打开新窗口浏览全图

 

我们在“自解压文件窗口中显示的文本”下面输入最简单的跨站测试代码

<script>alert(“哈哈”)</script>

点击确定创建文件就可以了。

然后我们打开刚才创建的文件,看到了如下的结果。图4

 

4.jpg
大小: 21.34 K
尺寸: 450 x 335
浏览: 0 次
点击打开新窗口浏览全图

 

弹出了跨站提示。我们把跨站代码换成

<iframe>

就更明显了

 

5.jpg
大小: 23.94 K
尺寸: 450 x 334
浏览: 0 次
点击打开新窗口浏览全图

 

看来,WINRAR自解压不仅可以按照捆绑的方式夹带传播木马,利用这种方式也可以跨站挂马。有些有安全意识的人,一般先用WINRAR打开自解压格式文件。

 

6.jpg
大小: 33.23 K
尺寸: 363 x 438
浏览: 1 次
点击打开新窗口浏览全图

 

但是会忽略在文本和图标的选型卡内容里是否存在恶意代码。但是这样的恶意代码也有缺陷,用WINRAR打开的时候直接会在右面看到代码。对于有一点经验的人来说很容易识别。

 

7.jpg
大小: 7.72 K
尺寸: 478 x 78
浏览: 1 次
点击打开新窗口浏览全图

 

可是利用者可以增强迷惑性,在里面添加大量的文字,然后中间插入一段这样的代码。用户也是很难看出的。另外还有一种方式可能被利用者使用。就是让WINRAR无法打开自解压文件。可以在自解压格式文件上加壳。这样WINRAR就无法打开自解压格式文件了。但是加壳的容易出错。还可以修改自解压的特征,让WINRAR不能识别。对于这样的利用方式更别说看到里面的注释命令是什么了。对于修改自解压文件本身,有如下的修改方式:

用16进制编辑器打开要修改的EXE后缀的自解压文件。查找如下的16进制字串,前面是要查找的,箭头后面的是替换掉的。以第一处修改为例截个图。

 

8.jpg
大小: 17.48 K
尺寸: 478 x 74
浏览: 0 次
点击打开新窗口浏览全图

 

看到了第一处,按照第一种修改的方式修改掉就可以了。其他以此类推。修改后保存。其他要修改的地方如下。红色为要修改处。

第一种修改方式:

526172211A07 -> 526072211A07
807A0161 -> 807A0160

第二种修改方式:

526172211A07 -> 526171211A07
807A0272 -> 807A0171

修改后我们对比一下。在文件上分别点击右键。上面是修改前的,下面是修改后的。

 

9.jpg
大小: 21.99 K
尺寸: 249 x 298
浏览: 0 次
点击打开新窗口浏览全图

 

 

10.jpg
大小: 11.76 K
尺寸: 156 x 232
浏览: 0 次
点击打开新窗口浏览全图

 

我们看到修改后右键上根本没有了“用WINRAR打开的选项”。我们打开修改后的文件来看看。是否可以运行。

 

11.jpg
大小: 21.94 K
尺寸: 457 x 339
浏览: 0 次
点击打开新窗口浏览全图

 

可以正常运行。这里我们演示了下怎样修改绕过WINRAR的识别。

对于加壳的可以先脱壳,但是对于普通用户是很难做到的,第二种修改方式也可以还原回去到目前也没有一种好的解决方式,只能提醒大家注意防范。


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·另类网站入侵之一句话木马图片的
·0day批量拿站webshell,挖掘机是
·利用ewebeditor 5.5 - 6.0 鸡肋
·OmniPeek抓包的一点看法
·强大的嗅探工具ettercap使用教程
·Windows系统密码破解全攻略
·破解禁止SSID广播
·XSS偷取密码Cookies通用脚本
·XSS漏洞基本攻击代码
·Intel 3945ABG用OmniPeek 4.1抓
·KesionCMS V7.0科汛内容网站管理
·破解无线过滤MAC
  相关文章
·渗透底层路由技术
·入侵复旦大学网站
·入侵清华大学网站全过程
·对母校.NET网站的渗透!
·网易跨域实现笔记以及顺便发现的
·使用Ophcrack破解系统Hash密码
·由PHP168任意文件下载0DAY到服务
·对韩国某CMS的一次安全检测
·完全渗透台湾大型旅游网
·安全攻防实战:使用winlogonhack
·入侵基于java Struts的JSP网站(
·入侵基于java Struts的JSP网站
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved