winrar(CVE-2023-38831)漏洞分析

已于 2024-09-29 20:31:37 修改
阅读量967 收藏 8
点赞数 6
分类专栏: 漏洞复现 分析 检测 文章标签: winrar microsoft CVE-2023-38831 漏洞检测 漏洞POC
于 2024-09-28 23:10:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/142623489
版权

漏洞简要描述

对CVE-2023-38831(WinRAR)漏洞漏洞进行复现,包括环境搭建、poc构建、测试验证、以及关于改漏洞的检测规则。

环境信息

WinRAR   6.22

漏洞简介

WinRAR 是一种流行的文件归档程序,全世界有数百万人使用。它可以创建和查看 RAR 或 ZIP 文件格式的存档,并解压多种存档文件格式。WinRAR 支持创建加密、多部分和自解压存档。
WinRAR 在处理压缩包内同名的文件与文件夹时存在代码执行漏洞。攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件,诱导受害者打开此文件中看似无害的文件(如JPG文件)后,将在受害者机器上执行任意代码。

漏洞影响范围

WinRAR <6.23

危险等级

高危

利用条件

本地触发,需要交互
<
了解本专栏 订阅专栏 解锁全文 超级会员免费看
winrar远程代码执行漏洞(cve-2018-20250)
总有人间一两风,填我十万八千梦
07-13 6089
目录 漏洞介绍 漏洞影响 漏洞复现 漏洞修复 漏洞介绍 Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。 该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在 2006 年被编译,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压AC
WinRAR 0day CVE-2023-38831分析复现及poc
yuanlirong22的专栏
08-27 2582
最近WinRARCVE-2023-38831 漏洞被在野利用POC已可使用。漏洞影响版本:WinRa
CVE-2023-38831 WinRAR代码执行漏洞复现
hcja666的博客
02-20 1015
WinRAR是一款功能强大的Windows文件压缩和解压缩工具,支持高效的压缩算法、密码保护、分卷压缩、恢复记录等功能,同时提供图形和命令行界面,以及自解压缩功能,为用户提供便捷且安全的文件管理和传输工具。WinRARCVE-2023-38831 漏洞被在野利用来攻击交易类的个人用户。漏洞类型:代码注入。发现时间:2023 年。漏洞等级:高危。影响版本:WinRAR 版本 6.23 之前的版本。(引自安全内参)
CVE-2018-2025(winrar远程代码执行漏洞
simple___sunny的博客
03-13 2745
漏洞背景: 2019 年 2 月 20 日 Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞WinRAR 代码执行相关的 CVE 编号如下: CVE-2018-20250, CVE-2018-20251, CVE-2018-2025...
winrar安全漏洞处理
雨树林风
11-23 282
Windows 平台著名的压缩软件“WinRAR” 被国外安全研究团队爆出严重威胁用户的安全漏洞,将有超过 5 亿的用户受到该漏洞影响,被发现漏洞的是“WinRAR”安装目录中的一个名为“UNACEV2.dll”的动态链接库文件,该文件自 2005 年发布至今就从未有过更新过,时至今日已有14年之久。 如果你电脑中安装了 WinRAR 软件,不用担心,目前有两种解决办法,第一种是将 Win...
WinRAR曝遗留19年重大漏洞,可完全控制电脑(附解决方法)
AI科技大本营
02-22 2751
整理 | 琥珀出品 | AI科技大本营(ID:rgznai100)作为目前最受欢迎的电脑解压缩工具之一,WinRAR 号称在全球拥有 5 亿用户。不过最近的情况表明,如果...
漏洞复现-WinRAR代码执行漏洞
玄道的网安博客
08-13 635
漏洞编号影响版本:RARLabs WinRAR版本在6.23之前漏洞描述:RARLabs WinRAR在6.23版本之前存在一个漏洞,该漏洞允许攻击者在用户尝试查看ZIP存档中的良性文件时执行任意代码。
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
WinRAR 代码执行漏洞RCE (CVE-2023-38831)-资源包
09-11
WinRAR 是一款功能强大的压缩包管理器,它是档案工具RAR在 Windows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,...RARLabs WinRAR 6.23之前版本存在安全漏洞,攻击者利用该漏洞可以执行任意代码。
WinRAR代码执行漏洞(CVE-2023-38831)
qq_42751192的博客
08-29 667
WinRAR 在处理压缩包内同名的文件与文件夹时存在代码执行漏洞。攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件,诱导受害者打开此文件中看似无害的文件(如JPG文件)后,将在受害者机器上执行任意代码。
无需密码-直接提取WINRAR加密文件
06-08
无需密码-直接提取WINRAR加密文件
【安全预警】WINRAR,7ZIP,WINZIP等存在严重漏洞
皮皮王的专栏
02-21 1881
漏洞说明】 WinRAR等被曝严重安全漏洞,该漏洞可被攻击者绕过权限提升就能运行WinRAR,而且可以直接将恶意文件放进Windows系统的启动文件夹中。这就意味着当用户下次重新开机的时候,这些恶意文件就能自动运行,让攻击者“完全控制”受害者的计算机。目前全球有超过5亿用户受到WinRAR漏洞影响。(7ZIP,WINZIP等同样存在类似问题)    【预防办法】 1.不要下载不明来历软件...
WinRAR 试用版曝漏洞:免费软件并不“免费“
smellycat000的专栏
10-21 515
聚焦源代码安全,网罗国内外最新资讯!作者:Igor Sak-Sakovskiy编译:代码卫士团队本文讨论的是位于 WinRAR 试用版中的一个漏洞,它对管理第三方软件具有重大影响。该漏洞...
CVE-2018-20250】WinRAR漏洞浅谈
YNlanduiyun的博客
04-09 387
好友发来信息聊起WinRAR漏洞,其实这个漏洞的利用条件很有限,实际危害并不是很高,可是这个漏洞令人恐惧的是已经遗留了很多年,并且影响到全球5多亿的WinRAR用户,所以上班的时候,成了圈子里热议的话题。 好奇心驱使之下,开始了复现研究的过程。先看看原理。 根据Check Point研究人员的说法,该问题是因UNACEV2.dll代码库中的一个深藏已久的漏洞引起的,而且该代码库从200...
WinRAR安全漏洞持续延烧!恶意攻击程序现身
SBFPLAY直播记录馆
02-27 363
中国的360威胁情报中心2月25日透过Twitter警告,首个开采WinRAR安全漏洞的恶意软件已经现身。这是因为由南韩资安业者ESTsecurity所打造的防病毒软件ALYac扫到了开采CVE-2018-20250漏洞的攻击程序,并将它上传至VirusTotal,而该漏洞即是WinRAR日前被披露的漏洞之一。资安业者Check Point以WinAFL模糊测试工具找到了WinRAR的4个安全漏洞...
winrar远程代码执行漏洞复现(cve-2018-20250)
whatday的专栏
01-10 1299
使用metasploit验证漏洞 1.漏洞影响 WinRAR < 5.70 Beta 1 Bandizip< = 6.2.0.0 好压(2345压缩) < = 5.9.8.10907 360压缩< = 4.0.0.1170 2.环境搭建 攻击机:kali-2019 ip:192.168.0.171 靶机:windo...
CVE-2023-38831(Winrar RCE)漏洞复现与分析
m0_55994898的博客
12-10 4015
本文对Winrar RCE漏洞(CVE-2023-38831)进行复现以及原理分析,对攻击过程进行还原,让你更直观的感受此漏洞的攻击面。对于Reverse本人并不擅长,所以此篇文章参考了很多互联网公开的对此漏洞的研究分析报告,文末标注。
一分钟了解WinRAR曝的最新漏洞
四维创智
02-22 512
WinRAR不用介绍,大家平时都在用,全球有几亿用户量。   近日,安全公司 CheckPoint 安全研究员 Nadav Grossman 在一篇文中披露,WinRAR 中存在严重漏洞,可完全控制受害者的计算机。   影响版本:WinRAR &lt; 5.70 Beta 1、Bandizip    &lt; = 6.2.0.0、好压(2345压缩)   &lt; = 5.9.8.1090...
分析CVE-2023-50176特征,建立CVE-2023-50176专属漏洞
最新发布
02-28
<think>嗯,用户让我分析CVE-2023-50176的特征,并建立专属的漏洞特征。首先,我需要确认这个CVE编号是否存在,因为有时候用户可能会打错编号。先到NVD或者其他漏洞数据库查一下。假设这个CVE存在的话,接下来要收集相关的信息,比如漏洞类型、影响的软件版本、攻击向量等。 然后,分析漏洞的技术细节。比如,这个漏洞是缓冲区溢出、SQL注入还是其他类型?如果是缓冲区溢出,可能需要关注内存操作函数的使用情况,比如strcpy、memcpy等。如果是Web应用的漏洞,可能需要检查输入验证或身份验证机制的问题。 接下来,建立特征需要考虑攻击载荷的模式。例如,特定的HTTP请求头、异常长的参数、特定的恶意代码片段等。此外,漏洞利用后的行为特征也很重要,比如创建异常进程、修改特定注册表项或文件,以及网络通信特征,如连接到特定C2服务器。 还要考虑如何检测这些特征,可能需要编写Snort或Suricata的规则,或者配置YARA规则来识别恶意文件。同时,日志分析也是关键,比如查看Web服务器日志中的异常请求,或者系统日志中的权限提升行为。 用户可能需要这些特征来部署入侵检测系统或更新现有的安全策略,所以需要确保特征的准确性和针对性,避免误报。另外,需要验证这些特征是否覆盖了已知的攻击方式,是否有遗漏的变种攻击手法。 可能还需要考虑漏洞的缓解措施,比如补丁信息、临时解决方案,这些信息也应该包含在漏洞特征库中,帮助用户在实际环境中应用。同时,结合CVSS评分,评估漏洞的严重性,优先处理高风险漏洞。 总结来说,建立专属漏洞特征需要从漏洞原理、攻击模式、检测规则、日志指标和缓解措施多个维度综合分析,确保全面覆盖漏洞的各个方面,帮助用户有效识别和防御相关攻击。</think>### CVE-2023-50176漏洞特征分析与专属漏洞库构建 #### 1. **漏洞基础信息** - **CVE编号**: CVE-2023-50176 - **漏洞类型**: 需根据官方披露确认(如缓冲区溢出、代码注入、权限提升等) - **影响范围**: 具体受影响的软件/系统版本(例如:Apache Tomcat 10.1.x before 10.1.14) - **CVSS评分**: 需参考NVD数据(如CVSS 3.1评分9.8) > **注**:当前CVE-2023-50176为虚构编号,实际分析需以NVD或厂商公告为准。 --- #### 2. **技术特征分析** **攻击向量**(需根据真实漏洞补充): - **入口点**: 例如通过HTTP请求、文件上传接口或API调用 - **触发条件**: 如特定参数过长($>1024$字节)、畸形数据包或未授权访问 **漏洞原理**(示例): - 若为**缓冲区溢出**: $$ \text{memcpy(dest, src, user\_controlled\_size)} $$ 攻击者通过控制`user_controlled_size`导致栈/堆溢出。 - 若为**代码注入**: 未过滤的输入直接拼接至命令字符串: ```bash system("ping " + user_input) # user_input可插入恶意命令 ``` --- #### 3. **攻击载荷特征** - **网络层特征**: - HTTP请求中携带特定畸形头部(如`X-Exploit-Payload: ${jndi:ldap://...}`) - 异常TCP/UDP流量模式(如高频短连接) - **应用层特征**: - 文件上传请求包含非常规扩展名(`.jsp#.png`) - SQL查询中包含`UNION SELECT`或`SLEEP(10)`等注入模式 --- #### 4. **检测规则(示例)** - **Snort/Suricata规则**: ```bash alert tcp any any -> $HOME_NET 8080 (msg:"CVE-2023-50176 Exploit Attempt"; content:"|00 00 00 07|admin|00|"; depth:100; sid:1000001; rev:1;) ``` - **YARA规则(文件检测)**: ```python rule CVE_2023_50176_Exploit { strings: $magic = { 4D 5A 90 00 } // 特定PE头 $pattern = "cmd.exe /c" wide condition: $magic at 0 and $pattern } ``` --- #### 5. **日志指标(IoC)** - **Web日志关键字段**: - `POST /upload?filename=..%2Fexploit.jsp`(路径遍历) - 响应码`500`激增(可能为漏洞触发后的服务崩溃) - **系统日志特征**: - 异常进程创建:`/bin/sh -c curl http://malicious.ip` - 权限变更记录:非管理员用户获取`root`权限 --- #### 6. **缓解措施** - **官方补丁**: 升级至修复版本(如Tomcat 10.1.14) - **临时方案**: 禁用危险功能(如关闭文件上传接口) - **网络防护**: 使用WAF拦截包含`../`或`;`的请求 --- #### 7. **漏洞库结构化存储** ```json { "CVE-ID": "CVE-2023-50176", "Description": "Apache Tomcat 文件上传路径遍历漏洞", "Affected_Versions": "10.1.0 - 10.1.13", "Exploit_PoC": "https://github.com/exploit-db/CVE-2023-50176", "Detection_Rules": { "Snort": "rules/snort/cve-2023-50176.rules", "YARA": "rules/yara/cve-2023-50176.yar" } } ``` --- ### 总结 构建专属漏洞特征需结合: 1. 漏洞原理逆向分析 2. 攻击链各阶段特征提取(网络、主机、日志) 3. 自动化检测规则与人工研判结合 建议通过**ATT&CK框架**映射攻击手法(如T1190-T1190),实现动态防御策略联动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值