[讨论]谁知道这个原理?接收RAR文件即中,无需运行.-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]谁知道这个原理?接收RAR文件即中,无需运行.

发表于: 2011-4-27 14:55 60736

[讨论]谁知道这个原理?接收RAR文件即中,无需运行.

bestbird

2011-4-27 14:55

60736

查看主题内容

收藏・2

免费・1

支持

最新回复 (61) ◀ 1 2 3 ▶
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 26 楼 0day 当年，拿到Ani的exp，修改了几下，过了微软MS-07017补丁，后来又被修复了，在后来发现某人利用Ani制作成RAR自运行的了，完全无语。 2011-4-28 15:56 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 27 楼就算是RAR 有0Day，这也跟RAR的0Day没关系，问题是在QQ接收的环节。从LZ所说的来看，就只可能是XX团队发现了QQ接收文件存在的0Day，发送的文件可能仅仅是RAR后缀和图标构造畸形的文件，而并非纯正的RAR压缩包。 QQ在接收文件后，有可能对文件进行智能判断，在这一步上出现了溢出或其它Bug，导致被利用并执行了ShellCode 或在这里又进一步利用了RAR的0Day…… 我认为这个解释比较合理了。但是还是觉得不太可能，被骗的可能比较大……（没图……没Bin……没真相……） 2011-4-28 16:23 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 28 楼怎么没有Bin，不是发给你那个RAR压缩包了么，把那个传上来看看 2011-4-28 16:27 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 29 楼怎么没有Bin，不是发给你那个RAR压缩包了么，把那个传上来看看 2011-4-28 16:26 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 30 楼看了半天不知道是神马东东，求bin 123456 2011-4-28 17:45 0
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 31 楼 QQ传送的rar目录和文件名有神马要求木有? 感觉QQ的0day可能性大一些. 2011-4-28 18:48 0
落花满怀雪币： 142 活跃值： (116) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 71 粉丝 0 关注私信	落花满怀 32 楼这个不大像。除非QQ有未知漏洞，要不然的话，要实现这样的视觉效果就只有获取一个CMD的shell 然后当你接收某文件后通过CMD下用RAR的命令行操作解压并用START命令运行之，其他的真想不到怎么做了，期待大牛的答案 2011-4-28 19:40 0
shuax 雪币： 1760 活跃值： (1616) 能力值： ( LV12，RANK：222 ) 在线值：发帖 14 回帖 248 粉丝 8 关注私信	shuax 2 33 楼怎么看都像是骗钱的 2011-4-29 10:04 0
gx_sz 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 86 粉丝 0 关注私信	gx_sz 34 楼这种bin很难求到的，人家都是靠着吃饭的，而且这东西一旦流出去就不值钱了。挖洞的人也不容易啊感觉DMemory的分析还是很靠谱。 2011-4-29 10:05 0
dalao 雪币： 1866 活跃值： (95) 能力值： ( LV4，RANK：50 ) 在线值：发帖 34 回帖 260 粉丝 4 关注私信	dalao 1 35 楼木马协会的人最喜欢这个了！ 2011-5-1 11:18 0
margen 雪币： 254 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	margen 1 36 楼 Mark.. 2011-5-1 13:52 0
pighead 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	pighead 37 楼胡扯还必须装了 winrar winrar的处理流程利用了参数即使存在这个漏洞也只不过用了 QQ自身的漏洞而已而且假如可以调用 winrar 那么只要传递一个 hacker.exe.txt 然后改名就ok了 2011-5-3 04:51 0
wgzthink 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	wgzthink 38 楼持续关注，效果描述很神奇，可惜没点大概的方向，买这种东西风险性也太大了吧？至少给个大概的技术方向否则被忽悠了怎么办？ 2011-5-3 08:31 0
liein 雪币： 217 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 0 关注私信	liein 39 楼以前也听到过说只要给被攻击人的qq 就能控制他的电脑(只要他在线) 不知道是不是真的有这样的漏洞如果有那可是不得了了 2011-5-3 17:23 0
wuxiaoxin 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	wuxiaoxin 40 楼 0day吧，应该是利用RAR自解压的原理，解压到自启动或者一些神马方法，高手都，淡定点 2011-5-3 19:01 0
nagame 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	nagame 41 楼自动运行就有点假了。倒是3.6以及之前版本的WINRAR有个溢出漏洞，可是也需要打开压缩包 2011-5-3 19:13 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 42 楼楼主说MSN也有效哦 2011-5-3 23:25 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 43 楼楼主都说了，电脑跟QQ是他那边自带的，所以根本不可能事先在电脑上做猫腻。其实接收完后缀是rar的文件之后，该文件不可能自行触发， DMemory说中了，是扣扣的文件名解析0day~~ 2011-5-6 11:36 0
佛雷姆雪币： 316 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	佛雷姆 44 楼 mark. 2011-5-6 15:17 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 45 楼应该是扣扣和msn的什么漏洞,mark! 2011-5-6 16:39 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 46 楼如果楼主这么说的话就完全没有道理了……除非电脑里本来就中毒了 2011-5-7 22:06 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 47 楼必须安装WINRA 难道是QQ后缀解析？然后某种压缩把它运行了？ 2011-5-7 22:25 0
zcmmwbd 雪币： 247 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	zcmmwbd 48 楼按照楼主的说法,我感觉有很大猫腻... 毕竟msn和qq的接收文件的代码不可能出相同的溢出漏洞吧... 所以,有这么一种可能: LZ的电脑有什么远程溢出漏洞(0day或已知的?),对方在发送文件之前已经入侵了你这台电脑,并且启动了一个监视的线程...当检测到符合条件的rar文件创建,就执行包内的EXE... 2011-5-8 17:02 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 49 楼话说，这个真有，问题在QQ和MSN的RAR扫描上(好多用旧的格式解析资料和样例代码去解析RAR的都有这个问题！！！！)~据说如果不是想执行包内的exe,没有WinRAR也可以的~ 需要安装winrar的原因是shellcode里直接调用了unrar.exe去解包执行而已~ 2011-5-9 14:31 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 50 楼楼主那个发送过来的RAR文件就是真相没别的~ 2011-5-9 14:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bestbird

发帖

262

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (61) ◀ 1 2 3 ▶
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 26 楼 0day 当年，拿到Ani的exp，修改了几下，过了微软MS-07017补丁，后来又被修复了，在后来发现某人利用Ani制作成RAR自运行的了，完全无语。 2011-4-28 15:56 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 27 楼就算是RAR 有0Day，这也跟RAR的0Day没关系，问题是在QQ接收的环节。从LZ所说的来看，就只可能是XX团队发现了QQ接收文件存在的0Day，发送的文件可能仅仅是RAR后缀和图标构造畸形的文件，而并非纯正的RAR压缩包。 QQ在接收文件后，有可能对文件进行智能判断，在这一步上出现了溢出或其它Bug，导致被利用并执行了ShellCode 或在这里又进一步利用了RAR的0Day…… 我认为这个解释比较合理了。但是还是觉得不太可能，被骗的可能比较大……（没图……没Bin……没真相……） 2011-4-28 16:23 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 28 楼怎么没有Bin，不是发给你那个RAR压缩包了么，把那个传上来看看 2011-4-28 16:27 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 29 楼怎么没有Bin，不是发给你那个RAR压缩包了么，把那个传上来看看 2011-4-28 16:26 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 30 楼看了半天不知道是神马东东，求bin 123456 2011-4-28 17:45 0
stu 雪币： 1259 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 179 粉丝 0 关注私信	stu 31 楼 QQ传送的rar目录和文件名有神马要求木有? 感觉QQ的0day可能性大一些. 2011-4-28 18:48 0
落花满怀雪币： 142 活跃值： (116) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 71 粉丝 0 关注私信	落花满怀 32 楼这个不大像。除非QQ有未知漏洞，要不然的话，要实现这样的视觉效果就只有获取一个CMD的shell 然后当你接收某文件后通过CMD下用RAR的命令行操作解压并用START命令运行之，其他的真想不到怎么做了，期待大牛的答案 2011-4-28 19:40 0
shuax 雪币： 1760 活跃值： (1616) 能力值： ( LV12，RANK：222 ) 在线值：发帖 14 回帖 248 粉丝 8 关注私信	shuax 2 33 楼怎么看都像是骗钱的 2011-4-29 10:04 0
gx_sz 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 86 粉丝 0 关注私信	gx_sz 34 楼这种bin很难求到的，人家都是靠着吃饭的，而且这东西一旦流出去就不值钱了。挖洞的人也不容易啊感觉DMemory的分析还是很靠谱。 2011-4-29 10:05 0
dalao 雪币： 1866 活跃值： (95) 能力值： ( LV4，RANK：50 ) 在线值：发帖 34 回帖 260 粉丝 4 关注私信	dalao 1 35 楼木马协会的人最喜欢这个了！ 2011-5-1 11:18 0
margen 雪币： 254 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	margen 1 36 楼 Mark.. 2011-5-1 13:52 0
pighead 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	pighead 37 楼胡扯还必须装了 winrar winrar的处理流程利用了参数即使存在这个漏洞也只不过用了 QQ自身的漏洞而已而且假如可以调用 winrar 那么只要传递一个 hacker.exe.txt 然后改名就ok了 2011-5-3 04:51 0
wgzthink 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	wgzthink 38 楼持续关注，效果描述很神奇，可惜没点大概的方向，买这种东西风险性也太大了吧？至少给个大概的技术方向否则被忽悠了怎么办？ 2011-5-3 08:31 0
liein 雪币： 217 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 0 关注私信	liein 39 楼以前也听到过说只要给被攻击人的qq 就能控制他的电脑(只要他在线) 不知道是不是真的有这样的漏洞如果有那可是不得了了 2011-5-3 17:23 0
wuxiaoxin 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	wuxiaoxin 40 楼 0day吧，应该是利用RAR自解压的原理，解压到自启动或者一些神马方法，高手都，淡定点 2011-5-3 19:01 0
nagame 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	nagame 41 楼自动运行就有点假了。倒是3.6以及之前版本的WINRAR有个溢出漏洞，可是也需要打开压缩包 2011-5-3 19:13 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 42 楼楼主说MSN也有效哦 2011-5-3 23:25 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 43 楼楼主都说了，电脑跟QQ是他那边自带的，所以根本不可能事先在电脑上做猫腻。其实接收完后缀是rar的文件之后，该文件不可能自行触发， DMemory说中了，是扣扣的文件名解析0day~~ 2011-5-6 11:36 0
佛雷姆雪币： 316 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	佛雷姆 44 楼 mark. 2011-5-6 15:17 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 45 楼应该是扣扣和msn的什么漏洞,mark! 2011-5-6 16:39 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 46 楼如果楼主这么说的话就完全没有道理了……除非电脑里本来就中毒了 2011-5-7 22:06 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 47 楼必须安装WINRA 难道是QQ后缀解析？然后某种压缩把它运行了？ 2011-5-7 22:25 0
zcmmwbd 雪币： 247 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	zcmmwbd 48 楼按照楼主的说法,我感觉有很大猫腻... 毕竟msn和qq的接收文件的代码不可能出相同的溢出漏洞吧... 所以,有这么一种可能: LZ的电脑有什么远程溢出漏洞(0day或已知的?),对方在发送文件之前已经入侵了你这台电脑,并且启动了一个监视的线程...当检测到符合条件的rar文件创建,就执行包内的EXE... 2011-5-8 17:02 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 49 楼话说，这个真有，问题在QQ和MSN的RAR扫描上(好多用旧的格式解析资料和样例代码去解析RAR的都有这个问题！！！！)~据说如果不是想执行包内的exe,没有WinRAR也可以的~ 需要安装winrar的原因是shellcode里直接调用了unrar.exe去解包执行而已~ 2011-5-9 14:31 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 50 楼楼主那个发送过来的RAR文件就是真相没别的~ 2011-5-9 14:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复