winrar 4.20

winrar 4.20
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
WinRar 4.20 – 文件扩展名欺骗(0Day) 我是酱油男2014-03-28金币奖励+6共228699人围观 ，发现 38 个不明物体 漏洞资讯
WinRar 是常用的压缩与解压缩软件工具。它能将数据压缩成.rar或则.zip格式的包。这篇文章就是给大家呈现Winrar 4.20的一个最新漏洞（0 day）,下面是关于zip文件的相关简要介绍。

Offset

Bytes

Description[25]

00 4 Local file header signature = 0x04034b50 (read as a little-endian number)
04 2 Version needed to extract (minimum)
06 2 General purpose bit flag
08 2 Compression method
10 2 File last modification time
12 2 File last modification date
14 4 CRC-32
18 4 Compressed size
22 4 Uncompressed size
26 2 File name length (n)
28 2 Extra field length (m)
30 n File name
30+n m Extra field

(the information taken from wiki - http://en.wikipedia.org/wiki/Zip_(file_format) )

-------------------------------------------------------------------------------------------------
通过文件格式的描述符中，我们可以看到，偏移30的地址指向压缩文件的名字。当我们尝试用WinRar 4.20将文件压缩为"zip 格式"文件时，文件结构看起来没变，但是WinRar添加了一些其独有的文件属性参数。

WINRAR添加额外的“文件名”到压缩文件的“文件名”中。进一步的分析表明，第二个“文件名”是文件的真实文件名，当第一个“文件名”出现在WinRar的 GUI窗口时，WinRar会把第一个“文件名”分配给解压后的文件作为文件名。

这种行为可以很容易地变成一个非常危险的安全漏洞。

假如恶意人员发布一些所谓的txt文本文件，例如“README.TXT”或者PDF格式文件，如“VirusTotal_ScanResults.pdf”，或者更诱人的文件，如“海天盛宴高清图片.jpg”黑客。受害者会因为放松警惕，而运行恶意程序。

相关POC可以参考如下链接:

http://an7isec.blogspot.co.il/2014/03/winrar-file-extension-spoofing-0day.html
From：http://www.exploit-db.com/papers/32480/

我是酱油男
我是酱油男
9 篇文章
等级： 4级
||
上一篇：黑掉ATM取款机？只需一条短信下一篇：用户名+123456，轻松写意登陆eBay日本论坛
这些评论亮了

360水军队-队员 回复
自从用了【360压缩软件】腰也不酸了，腿也不疼了，还能一口气爬8楼，不费劲。
)68(亮了

360水军队-队长 回复
好在我不用winrar多年，一直在用【360压缩软件】。
)43(亮了

360水军队-队员 回复
　If　you　love　her,　take　her　to　360zip.　
【360压缩软件】，好用看得见。 　
)39(亮了

那个疼 回复
时间去哪了,飞机去哪了,我横扫硬盘,草,扣扣去哪了 -- 原来到36O黑名单里了.
迅雷弹窗了,搜狗弹窗了,我轻点快播,日,又来弹框了 -- 原来是360看片模式了.
)16(亮了

360水军队-队员 回复
【360压缩软件】---你值得拥有！（@360水军队-队长，我攒了多少5毛了？）
)6(亮了
发表评论已有 38 条评论

yyyy3333 2014-03-28回复 1楼
。。。exp ip = over

好久不出远程day了。。。

都day day up 了。。。

亮了(3)

360水军队-队长 2014-03-28回复 2楼
好在我不用winrar多年，一直在用【360压缩软件】。

亮了(43)

360水军队-队员 2014-03-28回复 3楼
自从用了【360压缩软件】腰也不酸了，腿也不疼了，还能一口气爬8楼，不费劲。

亮了(68)

360水军队-队员 2014-03-28回复 4楼
　If　you　love　her,　take　her　to　360zip.　

【360压缩软件】，好用看得见。 　

亮了(39)

nope 2014-03-28回复 5楼
貌似翻译错了，WinRar会把第二个“文件名”分配给解压后的文件作为文件名。

亮了(1)

叶纸 (3级) 2014-03-28回复 6楼
360水军们亮了

亮了(4)

prjf (3级) 2014-03-28回复 7楼
我一直用的都是rar…..以后换7zip…天灭winrar

亮了(1)

ChiChou 2014-03-28回复
@prjf 7zip现在还可以使用unicode控制字符伪造文件名，直接插入一个RLO，后缀名随便你伪造

亮了(1)

ChiChou (2级) 2014-03-28回复
@ChiChou 不过没这个这么刺激，全部都伪造掉了

亮了(1)

legendsec (4级) 2014-03-28回复 8楼
好吧，本来刚出来就打算发的一直在整理“`有人抢先了“咳咳咳“

亮了(1)

fakes 2014-03-28回复 9楼
还得用360比较安全

亮了(1)

RadioY (1级) Learning Radio.... 2014-03-28回复 10楼
This is not a 0day , it’s already shared in an Arabic Forum 2 months ago in version 4…

亮了(3)

mmtt (4级) 2014-03-28回复 11楼
水平来得真及时啊

亮了(1)

鸣之 (1级) 身是菩提树，心如明镜台，时时勤拂拭，勿使惹尘埃。 菩提... 2014-03-28回复 12楼
poc下载不了啊？

亮了(1)

EvilPing (1级) 2014-03-28回复 13楼
4.20都啥时候产品了，不知道用户还有多少？

亮了(2)

下水道 2014-03-29回复
@EvilPing ghost版里面各种4.2

亮了(1)

小白 2014-03-28回复 14楼
翻译得有问题，

Further analysis reveals that the second name is the "File Name" of the file, that WINRAR will give to

the output uncompressed file, while the First name is the name that appears at the WINRAR GUI window.

那个while不是 “当。。。时”，而是 “然而。。。”

亮了(1)

softbug 认证作者专栏作者(7级) i am here! 2014-03-28回复 15楼
一个产品没做好，劈头就是让用户抛弃它，这不太现实。这只是安全圈内的人的想法，这只代表了一个小行业的思维方式，这其实什么都不是。那又如何，大家还是会继续用其升级版。

亮了(3)

那个疼 2014-03-28回复 16楼
时间去哪了,飞机去哪了,我横扫硬盘,草,扣扣去哪了 — 原来到36O黑名单里了.

迅雷弹窗了,搜狗弹窗了,我轻点快播,日,又来弹框了 — 原来是360看片模式了.

亮了(16)

熊猫阿B0 2014-03-28回复 17楼
前两天才知道你工作的部门是啥！好崇拜~

亮了(0)

B-三硝基甲苯 2014-03-28回复 18楼
崇拜毛线，还不都是娱乐圈的……话说你是怎么知道的？

亮了(0)

Baby_boyboy 2014-03-28回复 19楼
妹的，抢的一件不剩[泪流满面]

亮了(0)

熊猫阿B0 2014-03-28回复 20楼
你的微博资料里不写着呢么！！！！！！！！！！

亮了(0)

B-三硝基甲苯 2014-03-28回复 21楼
只写了单位，没写到部门吧……

亮了(1)

方坤-Summer 2014-03-28回复 22楼
0day

亮了(0)

熊猫阿B0 2014-03-28回复 23楼
AD-LAB不算部门？晕

亮了(0)

CUBE朱朱 2014-03-28回复 24楼
挖鼻屎

还是DW王道

亮了(0)

B-三硝基甲苯 2014-03-28回复 25楼
……好吧，才注意到我好像连部门也写了，赶紧涂掉……

亮了(0)

jasionben-西安瑞天 2014-03-28回复 26楼
安全响应中心 //:转发微博

亮了(0)

jasionben-西安瑞天 2014-03-28回复 27楼
安全响应中心 转发微博

亮了(0)

360水军队-队员 2014-03-29回复 28楼
【360压缩软件】—你值得拥有！（@360水军队-队长，我攒了多少5毛了？）

亮了(6)

360水军队-队长 2014-03-31回复
@360水军队-队员 发表一次攒5毛尼懂的。

亮了(1)

360水军队-队长 2014-03-31回复
@360水军队-队员 “鸿祎”哥说了，别人点亮你一次，给你5毛。别人下一次软件还能给你5毛，咱们得加油了。

亮了(2)

halo 2014-03-29回复 29楼
哪个是第一个“文件名”,哪个又是第二个“文件名”？尼玛我表示完全没看懂。。。

亮了(1)

P 2014-03-30回复 30楼
改个扩展名还说的这么复杂，小编这是考我语文功底么。

亮了(2)

s3chugo (1级) 2014-04-03回复 31楼
的确值得关注一下。看来以后要养成先解压的习惯。

亮了(1)

adubo 2014-04-03回复 32楼
不看原文真的看不懂呃~~

亮了(1)

白航飞-Ratian 2014-03-28回复 33楼
安全响应中心 转发微博

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
我是酱油男
我是酱油男

这家伙太懒，还未填写个人描述！

9
文章数
29
评论数
最近文章
工具推荐：HardeningONE(类Unix系统安全检查脚本)
2016.02.04

工具推荐：Shellsploit，ShellCode生成器
2016.02.03

DVRF：路由器漏洞练习靶机 Damn Vulnerable Router Firmware
2016.01.24

浏览更多
相关阅读
BUF 早餐铺 | 美国知名银行前员工或盗用150万客户信息，出售给犯罪组织；Twitter禁止卡巴斯基在其平台发布广告；微软宣布推出新的Windows平台安全技术维基解密披露CIA恶意软件框架中的新工具：AfterMidnight与AssassinDrupal 7.31 SQL注入漏洞（CVE-2014-3704） EXP测试代码工业木马Duqu被发现使用一种未知语言编写BlackHat 2018 | 云服务安全功能比较：亚马逊vs谷歌vs微软
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0daybank