网络安全

位置:IT落伍者 >> 网络安全 >> 浏览文章

巧用WinRAR来抓鸡


发布日期:2021年04月10日
 
巧用WinRAR来抓鸡

WinRAR已经成为用户电脑中必装的软件,可你想过黑客会利用它来抓鸡吗?这是真的,只需一个小小的WinRAR漏洞利用程序,就可以把.rar格式的文件变成抓鸡工具。一旦运行了文件就会变成黑客的肉鸡。这是目前抓鸡比较有效的方法之一,我们应该如何防范呢?下面我们就来揭开谜底。小知识:抓鸡是黑客常用术语,意思是指主动通过某些程序(如木马程序或远程控制程序的客户端)或技术手段控制用户的PC机,被控制的PC机称之为肉鸡。为什么要用WinRAR漏洞抓鸡网络上流传有很多可执行文件捆绑工具,这些工具虽然可以方便的将两个或多个可执行文件捆绑为一个程序,并且可以进行简单的伪装,但是其原理却决定了其不可能成为完美的捆绑工具,目前主流的杀毒软件都可以轻易地将它清除掉。而用WinRAR漏洞捆绑木马来抓鸡就很有优势,因为普通捆绑检测都是用16进制编辑工具查看程序PE头进行判定的(大部分捆绑程序检测工具用的就是这个原理),但是这条不适合这个漏洞。小提示:该漏洞的原理是由于WinRAR在处理LHA格式文件时存在边界条件错误,而若将一个经处理后文件改为长文件名并附加成LHA文件,再调用相应参数生成新的压缩包后,被WinRAR打开的时候就会导致本地缓沖溢出。当用户点击压缩包时会出现错误提示(图1),这时木马程序就已经悄悄运行了,肉鸡就到手了。Tw.wiNgWIt.Com所以如果我们用这个漏洞来抓鸡,成功率是十分高的,比原始的3389端口抓鸡的成功率高多了。如何用WinRAR漏洞抓鸡Step1:将WinRAR的利用程序放到任意目录中,例如C盘根目录。Step2:单击菜单中“开始→运行”命令,输入“cmd”运行“命令提示符”。将光标切换到“c:”,输入“rar.exe”查看利用程序的使用方法。其使用方法为:“rar [选项] ”。其中“选项”可以指定生成的文件名以及选择溢出的操作系统等操作。我们使用默认的配置,可以不输入,有需要的话可以添加相应的“选项”。Step3:将配置好的木马服务端程序也放到C盘根目录,并命名为123.exe。在“命令提示符”中输入命令:“rar 123.exe”,如果回显中出现“All Done! Have fun!”字样即表示捆绑有木马的WinRAR文件生成了(图2)。Step4:最后我们要做的就是将这个捆绑有木马程序的WinRAR文件发送给别人,当对方运行这个WinRAR文件时,将会出现错误,但是木马已经悄悄地在对方系统后台运行了。对方的电脑也就成了我们的肉鸡(图3)。不过要充分利用这个漏洞,光靠触发漏洞是不够的,木马的配置也很重要,例如要设置运行后删除自身,安装服务端时不出现提示等,这样当用户运行恶意WinRAR文件时只会出现WinRAR的错误提示,是丝毫感觉不到木马运行的。接着我们还要给木马加上免杀,例如加壳处理和修改特征码等,否则被杀毒软件检测出来岂不前功尽弃。小提示:运行漏洞利用工具时请先关闭杀毒软件,因为杀毒软件会把它当作黑客工具给清除掉。防范技巧1.不要运行陌生人发过来的文件。这是老生常谈的问题了,只不过以前只针对可执行文件,现在连WinRAR也不能轻易运行了。2.识别恶意的WinRAR文件。在运行WinRAR文件之前,我们可以先对其进行检查,确定无危害后再运行,检查的方法为:右键单击WinRAR文件,在菜单中如果没有“用WinRAR打开 ”这一项,则说明压缩包有异常,不要轻易打开!3.升级WinRAR到3.7以上的版本,新版本打开虽仍会提示出错,但木马程序不会运行。攻防博弈攻黑客:虽然很多人都有给系统打补丁的习惯,但会给应用软件升级的人少之又少,所以将捆绑有木马的WinRAR文件上传到软件下载网站或一些资源论坛中,将大大增加抓到的肉鸡数量。抓鸡的方法多种多样,我们还可以用135端口来抓安全意识不强的鸡。防编辑:系统软件的漏洞可以通过自动更新来解决,而工具软件的漏洞只能通过经常关注一些专业媒体的提醒,定期升级程序来解决。同时养成良好安全习惯,不接收不下载来路不明的压缩文件才是最好的防范方法!至于135端口抓鸡,只要我们关闭了端口,调高了防火墙的安全等级就不用惧怕。

上一篇:如何清除KL木马

下一篇:如何清楚下载软件中的木马