漏洞编号:CVE-2023-38831
影响范围:版本<6.23
我使用的是6.11版本的WinRAR进行复现
复现过程:①打开一个空白目录,新建一个文件夹,命名为bb.txt1
②在相同的空白目录下新建一个文本文件,命名bb.txt2,文本内容随便编辑保存
③打开bb.txt1文件夹,新建一个可执行文件,命名为bb.txt .cmd(注意txt后面有 个空格)
新建一个文本文档bb.txt,写入内容 start calc(打开计算机),演示任意命令执行,注意:写入内容并保存,再将文件名称修改为bb.txt .cmd(注意txt后面有 个空格)
④压缩文件:选择bb.txt1和bb.txt2,用WinRAR压缩文件,选择zip格式的压缩包
⑤用010editor打开文件,将文件名中的1和2都改为空格,保存
用WinRAR打开编辑后的压缩包bb.zip
打开了计算器