WinRAR目录穿越漏洞

显示全部楼层 · 发表于 2022-12-21 19:32:50

python无名氏发表于 2022-12-21 19:10
没必要太担心，这个漏洞的条件很苛刻，需要WinRAR 5.6、不能有其他压缩软件，而且这样搞出来的RAR对恶意 ...

不是担心...我的意思是，之前刚爆出漏洞时，金山毒霸会在病毒查杀中对WinRAR做处理，却不杀利用漏洞的文件

显示全部楼层 · 发表于 2022-12-21 19:36:27

PianoA 发表于 2022-12-21 19:32
不是担心...我的意思是，之前刚爆出漏洞时，金山毒霸会在病毒查杀中对WinRAR做处理，却不杀利用漏洞的文 ...

emmmmm...这可能是在尽力保护压缩包里的文件

显示全部楼层 · 发表于 2022-12-21 19:42:03

python无名氏发表于 2022-12-21 19:36
emmmmm...这可能是在尽力保护压缩包里的文件

嗯...大概是这样？

显示全部楼层 · 发表于 2022-12-25 14:31:17

PianoA 发表于 2022-12-21 19:32
不是担心...我的意思是，之前刚爆出漏洞时，金山毒霸会在病毒查杀中对WinRAR做处理，却不杀利用漏洞的文 ...

毒霸是对存在漏洞版本的winrar压缩软件进行提示和修复，畸形压缩包不处理的

显示全部楼层 · 发表于 2022-12-25 15:35:47

压缩包被启发

显示全部楼层 · 发表于 2022-12-26 15:08:34

本帖最后由 zhousulin5 于 2022-12-26 15:10 编辑

mifanu 发表于 2022-12-21 12:58
解压后确实有这个文件。不知道怎么做到的。楼主能说一下压缩方法吗？

实测内容：

猜测一下，原理大概是因为“保留完整路径”，利用存在漏洞的unacev2.dll在处理解压路径时不加筛选的按指定路径解压。target_filename = r"C:\C:C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hi.exe"
在新版本winrar中移除了对ace格式的支持，也就是删掉了那个unacev2.dll。因为unacev2.dll的源代码已经遗失，没人能继续维护它了。

[病毒样本] WinRAR目录穿越漏洞

本帖子中包含更多资源