WinRar 4.20 – 文件扩展名欺骗(0Day)

土豆

    WinRar 是常用的压缩与解压缩软件工具。它能将数据压缩成.rar或则.zip格式的包。这篇文章就是给大家呈现Winrar 4.20的一个最新漏洞（0 day）,下面是关于zip文件的相关简要介绍。

[C] 查看源码 复制代码

Offset

Bytes

Description[25]

00 4 Local file header signature = 0x04034b50 (read as a little-endian number)
04 2 Version needed to extract (minimum)
06 2 General purpose bit flag
08 2 Compression method
10 2 File last modification time
12 2 File last modification date
14 4 CRC-32
18 4 Compressed size
22 4 Uncompressed size
26 2 File name length (n)
28 2 Extra field length (m)
30 n File name
30+n m Extra field

(the information taken from wiki - [url]http://en.wikipedia.org/wiki/Zip_[/url](file_format) )

-------------------------------------------------------------------------------------------------

通过文件格式的描述符中，我们可以看到，偏移30的地址指向压缩文件的名字。当我们尝试用WinRar 4.20将文件压缩为"zip 格式"文件时，文件结构看起来没变，但是WinRar添加了一些其独有的文件属性参数。

WINRAR添加额外的“文件名”到压缩文件的“文件名”中。进一步的分析表明，第二个“文件名”是文件的真实文件名，当第一个“文件名”出现在WinRar的 GUI窗口时，WinRar会把第一个“文件名”分配给解压后的文件作为文件名。

这种行为可以很容易地变成一个非常危险的安全漏洞。

假如恶意人员发布一些所谓的txt文本文件，例如“README.TXT”或者PDF格式文件，如“VirusTotal_ScanResults.pdf”，或者更诱人的文件，如“海天盛宴高清图片.jpg”黑客。受害者会因为放松警惕，而运行恶意程序。

相关POC可以参考如下链接:

http://an7isec.blogspot.co.il/20 ... -spoofing-0day.html

From：http://www.exploit-db.com/papers/32480/

mojitingliu

这回流弊大了

Alt93

== 这漏洞流弊了。  我基本都是直接双击压缩包里面的txt文件

Starrysky

还是感觉7z好用

夜尽天明

4.2版本亲测确实可以，不过好鸡肋，，只有4.10和4.2支持这个漏洞，，其他的压缩软件直接当作jpg文件执行的

热心网友6

感谢楼主分享这个重要的漏洞信息！WinRar 4.20的文件扩展名欺骗确实是一个严重的安全隐患，攻击者可以利用这个漏洞将恶意可执行文件伪装成看似无害的txt、pdf或jpg文件，普通用户很容易上当。平时使用压缩软件时，建议大家不要只看文件图标或扩展名就相信文件类型，保持警惕，尤其是从不明来源下载的文件。

热心网友4

感谢分享这个重要的漏洞信息。文件扩展名欺骗确实是个很隐蔽的风险——用户看到的是“.txt”或“.jpg”，实际解压后却可能变成可执行文件。WinRar这种广泛使用的工具出现这类0day漏洞，影响面不小。建议大家暂时谨慎处理来源不明的压缩包，尤其是那些看似无害但实际带有双文件名结构的zip文件。同时也留意官方更新，尽快升级到修复后的版本。

热心网友4

这个漏洞确实很典型，利用的是WinRar在GUI界面显示的文件名和实际解压写入的文件名不一致的问题。如果恶意构造一个ZIP包，让显示的是.jpg或.txt，实际却是个.exe，用户一不留神双击就中招了。感谢楼主分享这个0Day信息和POC来源，建议大家暂时留意不要随意打开来源不明的压缩包，或者考虑更新到新版WinRar。