官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
0day免杀 | rar远程代码执行漏洞(CVE-2023-38831)免杀与复现
2016- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
收藏一下~
可以收录到专辑噢~
众所周知,一个漏洞在出现之后,会很快被各大杀软发现,紧接着就会更新病毒库,针对该漏洞进行检测。像rar之类并不会自动更新的软件,这些漏洞却因为杀软而无法使用。
授人以鱼不如授人以渔。在绕过杀软的同时利用漏洞,就是我接下来给大家讲的技术手段。
一 测试环境。
漏洞:CVE-2023-38831
免杀环境:defender
杀软更新时间:2024年12月5日
二 漏洞复现。
新建两个文件,分别为aa.txt1和aa.txt2,使用zip格式压缩,如图所示。
在二进制格式下,将aa.txt1中对应的61 61 2E 74 78 74 31替换为61 61 2E 74 78 74 20,将aa.txt2中对应的61 61 2E 74 78 74 32替换为61 61 2E 74 78 74 20,如图所示。
放到defender环境下进行测试,双击压缩包,运行成功,成功打开计算器,没报毒。
使用defender进行扫描,
提示了CVE-2023-38831仅仅这样貌似免杀没难度,那就再加个杀软吧!卡巴和赛门铁克的病毒库没啥太大差别,这里就安装个赛门
可试读前30%内容
¥ 19.9 全文查看
9.9元开通FVIP会员
畅读付费文章
畅读付费文章
最低0.3元/天
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
2016
一个不断学习的小菜鸟
已在FreeBuf发表 5 篇文章
本文为 2016 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
2016 LV.2
一个不断学习的小菜鸟
- 5 文章数
- 7 关注者
漏洞挖掘与复现
2024-12-06
NetScaler ADC 和 NetScaler Gateway远程代码执行漏洞分析与复现
2024-11-22
聊一聊不一样的免杀手段
2024-11-12
文章目录