微信旧版本存在远程代码执行漏洞:小心奇特用户名的聊天对象

最新推荐文章于 2023-06-07 06:00:00 发布
最新推荐文章于 2023-06-07 06:00:00 发布
阅读量557 收藏
点赞数

漏洞编号为CVE-2019-17151  ,CVSS评分 8.8,影响产品:微信

漏洞由趋势科技移动安全研究团队的Todd Han

和Lujunzhi,Zhengyu Dong 发现

此漏洞使远程攻击者可以在受影响的腾讯微信版本上执行任意代码。

利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。

漏洞存在于用户名解析中。该问题是由于在使用用户提供的字符串执行系统调用之前缺乏适当的验证。攻击者可以利用此漏洞在当前进程的上下文中执行代码。


最新的在线版本7.0.9已解决此问题。

因此微信也不是绝对的安全,平常注意聊天对象,防止被陌生人聊天攻击!当然,平常也要小心陌生人发起聊天,防止被钓鱼攻击。

请及时在手机浏览器打开并更新最新的APP,要知道很多人是没有开自动更新的习惯的。

weixin.qq.com/d

参考链接

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/

情报来源于下面公众号

可扫码关注

blackorbird
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微信远程代码执行漏洞(最新版本利用)-亲测已上线
课嗨教育的专栏
04-17 537
POC: ENABLE_LOG = true; IN_WORKER = true; // run calc and hang in a loop var shellcode = [,0xfc,0xe8,0x89,0x00,0x00,0x00,0x60,0x89,0xe5,0x31,0xd2,0x64,0x8b,0x52,0x30,0x8b,0x52,0x0c,0x8b,0x52,0x14,0x8b,0x72,0x28,0x0f,0xb7,0x4a,0x26,0x31,0xff,0x31,0xc0,0x
微信0day远程代码执行漏洞
chaojixiaojingang
08-05 622
1.漏洞简介 由于微信采用的是google内核,前些日子google爆出0day远程代码执行漏洞,但是需要关闭沙箱,而微信采用的是老版本google内核,默认关闭沙箱,因此只要微信用户点击恶意连接,可直接获取该PC电脑权限。 2.影响版本 <=3.2.1.141(Windows系统) 3.漏洞EXP 4.漏洞复现 1)利用CS设置一个http或者https监听器 2)利用cs生成payload,语言选择c# 3)生成默认文件名称为payload.cs,内...
Wechat远程代码执行漏洞复现(附旧版链接)
per_se_veran_ce的博客
04-20 1万+
一、漏洞介绍 微信windows版是一款跨平台的通讯工具。微信windows版存在远程代码执行漏洞,攻击者可能利 用该漏洞执行恶意代码。Google Chrome使用的V8引擎存在一处安全问题,该问题可能会影响 Windows微信及使用该引擎的软件。 二、影响版本 微信3.2.1.141以下所有版本 三、漏洞复现 1.环境搭建 使用微信电脑版3.2.1.141以下所有版本即可 2.漏洞复现 1、使用Cobalt Strike生成shellcode 2、处理shellcode 将shellcode前后删除,删
Chrome安全问题可能导致Windows版微信任意代码执行漏洞通告
爱国小白帽
04-21 708
报告编号:B6-2021-041701 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-17 0x01 漏洞简述 2021年04月17日,360CERT监测发现腾讯安全应急响应中心发布了关于Chrome存在安全问题可能影响Windows版本微信的风险通告 ,漏洞等级:严重,漏洞评分:8.8。 对此,360CERT建议广大用户及时将微信升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 0x02 风险等级 360CERT对该漏洞的评定结果如下 .
微信小程序推荐demo:备忘录:适用1028版本(源代码+截图)
06-19
微信小程序推荐demo:备忘录:适用1028版本(源代码+截图)微信小程序推荐demo:备忘录:适用1028版本(源代码+截图)微信小程序推荐demo:备忘录:适用1028版本(源代码+截图)微信小程序推荐demo:备忘录:适用1028版本...
微信小程序demo:在线聊天功能(源代码+截图)
06-19
微信小程序demo:在线聊天功能(源代码+截图)微信小程序demo:在线聊天功能(源代码+截图)微信小程序demo:在线聊天功能(源代码+截图)微信小程序demo:在线聊天功能(源代码+截图)微信小程序demo:在线聊天功能(源代码+...
微信小程序后端demo:仿微信:基于node(源代码+截图)
06-19
微信小程序后端demo:仿微信:基于node(源代码+截图)微信小程序后端demo:仿微信:基于node(源代码+截图)微信小程序后端demo:仿微信:基于node(源代码+截图)微信小程序后端demo:仿微信:基于node(源代码+截图)微信...
微信小程序demo:仿今日头条:适用1028(源代码+截图)
06-19
微信小程序demo:仿今日头条:适用1028(源代码+截图)微信小程序demo:仿今日头条:适用1028(源代码+截图)微信小程序demo:仿今日头条:适用1028(源代码+截图)微信小程序demo:仿今日头条:适用1028(源代码+截图)微信...
微信旧版本WeChatSetup3.6.0
02-01
微信旧版本WeChatSetup3.6.0------微信新版本更新后导致有些功能不能使用,可以尝试回退到旧版本微信新版本更新后,用原来的方法发现fiddler抓不到微信小程序的包了,有需要的话可以尝试回退到之前版本,是可以抓...
命令执行漏洞
weixin_38166557的博客
09-04 196
命令执行漏洞原理:应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。 命令执行漏洞利用条件: 应用调用执行系统命令的函数 将用户输入作为系统命令的参数拼接到了命令行中 ...
实战微信远程代码执行上线msf
最新发布
自强不息
06-07 298
​​何必择地,何必择时,但问立志之真不真尔
任意命令执行漏洞
weixin_30622107的博客
08-12 281
任意命令执行漏洞 *背景介绍* 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如php中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常的命令中,造成命令执行攻击。 任意命令执行漏洞 *成因* 脚本语言有点事简洁、方便,但也伴随着一些问题,如速度慢、无法接触系统底层,如果我们开发的应用(...
微信RCE漏洞复现
m0_46171781的博客
05-02 2409
微信RCE漏洞复现 一、涉及版本: 微信 Windows 版:< 3.1.2.141 根据腾讯安全中心的公告,这是因为chrome浏览器使用的V8引擎存在安全问题导致的。该漏洞仅影响windows版本的PC版微信,且只影响3.2.1.141以下版本 二、复现过程: 1.开启cobalt strike监听 2.使用cobalt strike生成shellcode 3.将生成的shellcode进行处理,将\替换为,0 4.写入js代码中 5.在html文件中调用此js代码 6.在靶机中使用微信
漏洞复现——bash远程解析命令执行漏洞
weixin_30314793的博客
11-23 520
漏洞描述:Bash脚本在解析某些特殊字符串时出现逻辑错误导致可以执行后面的命令,在一些cgi脚本中,数据是通过环境变量来传递的,这样就会形成该漏洞 漏洞原理:bash通过以函数名作为环境变量名,以“(){”(bash只有在遇到特殊的环境变量才会触发该漏洞)开头的字串作为环境变量的值来将函数定义导出为环境变量。而该漏洞就在于BASH处理这样的“函数环境变量”的时候,并没有以函数结尾“}”...
微信聊天代码汇总
热门推荐
10-10 2万+
今天给大家带来的是微信一些不错的代码汇总: 1.发送 ຂ້ອຍຮັກເຈົ້າ (翻译:我爱你) 2.发送 Mám tě rád (翻译:我喜欢你) 3.发送 Você é meu bebê (翻译:你是我的宝贝) 4.发送 ฉันชอบคุณเท่านั้น (翻译:我只喜欢你) 5.发送 ທ່ານຮູ້ຈັກຂ້າພະເຈົ້າຮັກທ່ານ (翻译:你知道我爱你 你永远在我心里) 6.发送 xoxo (会出现满屏亲亲) 7.发送 mi manchi (会出现满屏小星星) 8.发送 ohh (翻译:留
山东大学软件学院项目实训-创新实训-山大软院网络攻防靶场实验平台(八)-RCE漏洞
m0_47470899的博客
03-23 4445
目录前言:1、RCE 漏洞简介1.1、简介1.2、危害1.3、利用1.3.1、漏洞挖掘1.3.2、windows下管道符1.3.3、linux下管道符1.4、防范2、相关配置3、编写“RCE 漏洞”后端代码4、编写“RCE 漏洞”前端代码5、运行测试参考文章 前言: 1、RCE 漏洞简介 1.1、简介 RCE (Remote Code/Command Execute) :远程代码/命令执行 漏洞产生原因:在 Web 应用中开发者为了灵活性,简洁性等会让应用调用代码或者系统命令执行函数去处理,同时没有考虑用
微信|0day|无沙箱调用Chrome內核RCE漏洞|上线CS |漏洞复现
Bluffing的博客
04-19 1108
条件: Windows微信版本<3.2.1.141 整体思路: cs客户端链接服务器 cs生成马,粘贴到js文件中,将js文件和html文件上传到服务器上搭建的网站中 将网站链接通过微信发给小A 小A使用pc版微信点击链接 cs上线 操作步骤: 1 CS客户端链接服务器 2 构造恶意js 2.1 cs生成马 新建监听 生成payload保存 2.2 添加进js文件 将payload.cs中的代码加入到js文件的shellcode中 2.3 将js文件和调用js的html文件放到公网服务器
微信如何备份聊天记录 有这五种方法.docx
03-14
"微信备份聊天记录的方法" 微信作为日常生活和工作中不可或缺的沟通工具,其聊天记录往往包含着重要信息和个人回忆。因此,学会如何备份和恢复微信聊天记录至关重要。以下是五种不同的方法来帮助你实现这一目标: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值