详解WINRAR的自解压跨站攻击漏洞(转贴38)

作者:x140cc
听许多人说WINRAR自解压格式的文件在安装界面上可以跨站,笔者亲自测试了一下,这个不能单单说是跨站了,本来还以为是个新出的漏洞呢,原来是WINRAR的本身缺陷,在其界面上可以支持任何HTML代码。详细的,我们看下文。

首先创建一个自解压格式的文件,来到下图的界面。
图1点击放大图片
然后切换到“高级”这个选项卡。我们看到个“自解压选项”,
图2
点击放大图片

点击“自解压选项”来到如下图所示。
点击放大图片

我们在“自解压文件窗口中显示的文本”下面输入最简单的跨站测试代码
<script>alert(“哈哈”)</script>
点击确定创建文件就可以了。

然后我们打开刚才创建的文件,看到了如下的结果。图4
点击放大图片

弹出了跨站提示。我们把跨站代码换成
<iframe>

就更明显了。
点击放大图片
看来,WINRAR自解压不仅可以按照捆绑的方式夹带传播木马,利用这种方式也可以跨站挂马。有些有安全意识的人,一般先用WINRAR打开自解压格式文件。
点击放大图片
但是会忽略在文本和图标的选型卡内容里是否存在恶意代码。但是这样的恶意代码也有缺陷,用WINRAR打开的时候直接会在右面看到代码。对于有一点经验的人来说很容易识别。
点击放大图片
可是利用者可以增强迷惑性,在里面添加大量的文字,然后中间插入一段这样的代码。用户也是很难看出的。另外还有一种方式可能被利用者使用。就是让WINRAR无法打开自解压文件。可以在自解压格式文件上加壳。这样WINRAR就无法打开自解压格式文件了。但是加壳的容易出错。还可以修改自解压的特征,让WINRAR不能识别。对于这样的利用方式更别说看到里面的注释命令是什么了。对于修改自解压文件本身,有如下的修改方式:

用16进制编辑器打开要修改的EXE后缀的自解压文件。查找如下的16进制字串,前面是要查找的,箭头后面的是替换掉的。以第一处修改为例截个图。
点击放大图片
看到了第一处,按照第一种修改的方式修改掉就可以了。其他以此类推。修改后保存。其他要修改的地方如下。红色为要修改处。
第一种修改方式:
引用
526172211A07 -> 526072211A07
807A0161 -> 807A0160
第二种修改方式:
引用
526172211A07 -> 526171211A07
807A0272 -> 807A0171
修改后我们对比一下。在文件上分别点击右键。左面是修改前的,右面是修改后的。
点击放大图片

点击放大图片


我们看到修改后右键上根本没有了“用WINRAR打开的选项”。我们打开修改后的文件来看看。是否可以运行。
点击放大图片

可以正常运行。这里我们演示了下怎样修改绕过WINRAR的识别。

对于加壳的可以先脱壳,但是对于普通用户是很难做到的,第二种修改方式也可以还原回去到目前也没有一种好的解决方式,只能提醒大家注意防范。


原文链接:http://www.wairi.cn/article.asp?id=2469





以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 admin 于 2010-04-15 02:37 PM 编辑]
相关日志:
文章来自: 转贴
引用通告: 查看所有引用 | 我要引用此文章
Tags: 转贴
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:


本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 4 | 引用: 0 | 查看次数: -
回复回复小淑男SHUMR[2010-09-22 10:02 PM | del]
发个连接还敏感信息了 晕死!
还有吧我拉进城群里吧 我有好多问题我都需要群里的朋友帮忙解决!哎!
回复来自 admin 的评论 admin 于 2010-09-23 00:10 AM 回复
你不是一直都在吗?
回复回复小淑男SHUMR[2010-09-22 10:02 PM | del]
刀哥 挂个友情吧 你博客文章都不错!
回复回复bomb[2010-08-01 10:41 PM | del]
这个很强大 转了哦 谢谢
回复回复haha123456[2010-05-15 11:06 AM | del]
真的很绝~~·
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.