V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fantathat
V2EX  ›  分享发现

发现一种攻击手段

  •  
  •   fantathat · 2023-12-09 11:03:05 +08:00 via iPhone · 3713 次点击
    这是一个创建于 382 天前的主题,其中的信息可能已经有所发展或是发生改变。

    假设微信会把消息缓存到本地以支持离线,那么如果有人分享一个链接消息然后把预览图片在消息发出后偷偷换成木马程序会怎样,有没有可能偷偷躺着然后你不知道,微信是如何避免有人这么干的

    我并不知道实际情况是怎样的,但我想知道是怎样的

    第 1 条附言  ·  2023-12-10 13:27:46 +08:00
    我很抱歉由于我的浅薄和短视引得各位方家的热烈探讨,请恕我无知,正是由于我无知,才有可能听取方家的见解,探得真相,增加了这方面的知识。再次声明,这不是一种公共知识的发现行为,而是一种无知者的探寻,谢谢
    25 条回复    2023-12-11 16:02:23 +08:00
    leaflxh
        1
    leaflxh  
       2023-12-09 11:17:26 +08:00   ❤️ 1
    会校验图片的 magic 值吧,甚至是对图片进行二压
    stinkytofu
        2
    stinkytofu  
       2023-12-09 11:18:25 +08:00   ❤️ 3
    你以为的木马程序是什么, 程序执行不需要环境? 不需要执行权限? 假如是安卓系统, 如果你傻到下载一个陌生 apk, 然后再同意未知来源安装, 终于把 apk 安装成功运行, 再同意所有权限, 那也怪不了微信了
    sujin190
        3
    sujin190  
       2023-12-09 11:31:51 +08:00 via Android
    无厘头,如果你这能通,那我还有更简单的,我给你回复个自动预览的图片,或者微博什么的发个图片,但其实是个木马程序,那岂不是全部人都要中招了,这和你说的不就是一回事么
    polaa
        4
    polaa  
       2023-12-09 12:19:54 +08:00   ❤️ 1
    关键词 zero-click exploit
    dear2baymax
        5
    dear2baymax  
       2023-12-09 12:20:02 +08:00   ❤️ 1
    难以置信能问出这种问题,op 应该不是程序员吧?
    miyuki
        6
    miyuki  
       2023-12-09 12:20:20 +08:00
    那你把图片替换成木马后,如何让微信客户端从加载显示预览图变成执行你的恶意代码

    这种漏洞都是重量级的

    换句话说,如何让人在大街上看到一张广告牌就被催眠操纵
    kera0a
        7
    kera0a  
       2023-12-09 12:29:40 +08:00 via iPhone
    @sujin190 真有这种,图片漏洞导致系统提权执行了图片携带的脚本😄
    kera0a
        8
    kera0a  
       2023-12-09 12:30:34 +08:00 via iPhone   ❤️ 1
    当年 psp 破解就是用一张图片
    fantathat
        9
    fantathat  
    OP
       2023-12-09 12:59:01 +08:00 via iPhone
    @stinkytofu 是系统安全么
    fantathat
        10
    fantathat  
    OP
       2023-12-09 13:00:35 +08:00 via iPhone
    @sujin190 就不能是微信插件,不需要在 manifest 中的那种
    fantathat
        11
    fantathat  
    OP
       2023-12-09 13:04:43 +08:00 via iPhone
    @dear2baymax 你说是就是,不是就不是,是是你眼中的是,非是你眼中的非,我更希望是软件设计师,不懂安全领域,所以咨询下懂行的
    sujin190
        12
    sujin190  
       2023-12-09 14:42:24 +08:00 via Android
    @fantathat 你这怎么还没转过来,你以为你发个图片消息实际内容是木马对方就直接运行木马了,这么明显的漏洞你是当大家都是傻子么,如果你在两边微信都能装插件你自己就是最牛逼的木马你还发个锤子的木马

    如果按上面说的图片漏洞那是不是微信都会中招,你随便打开一个网页就中招了,但微信浏览器这种体量这么大的这种漏洞几乎不存在,否则早被人发现了
    doanything
        13
    doanything  
       2023-12-09 14:44:50 +08:00
    1 楼说的对。文件有自己的 magic 值
    sl0000
        14
    sl0000  
       2023-12-09 14:51:27 +08:00   ❤️ 4
    偷偷换成木马程序这一步应该是一个价值 10 万美元零日漏洞
    DOLLOR
        15
    DOLLOR  
       2023-12-09 15:46:10 +08:00   ❤️ 1
    假设你成功地偷偷换成木马程序了,并且被别人的微信下载到硬盘里了,下一步呢?
    谁来执行这个程序?你不会以为把木马程序弄到别人的手机电脑上,它就能立马发起攻击吧?

    你还不如去研究各大图片库里的漏洞,直接在图片里藏恶意代码。
    比如前不久的 libwebp 漏洞,攻击手段比什么“偷偷换成木马程序”高明多了。
    chanChristin
        16
    chanChristin  
       2023-12-09 15:52:31 +08:00 via iPhone   ❤️ 6
    还拽上哲学了 装啥逼呢
    cabbage
        17
    cabbage  
       2023-12-09 16:05:27 +08:00 via Android   ❤️ 2
    远程任意执行漏洞历史上太多了,举个两三年前现实发生过的实例吧,关键词 kindledrip ,利用 webkit 引用 jpeg xr 图片库的漏洞,打开一个网页就能取得 root ,理论上可以盗取亚马逊账号和信用卡
    cabbage
        18
    cabbage  
       2023-12-09 16:09:34 +08:00 via Android
    少补充了,kindledrip 是 kindle 阅读器的漏洞,影响面太小了,但原理跟 op 描述的是一个道理
    leloext
        19
    leloext  
       2023-12-09 16:22:37 +08:00   ❤️ 1
    远古时代还真有过 ico 漏洞,不过还好当时只是 DoS ,不是 remote exploit. https://www.exploit-db.com/exploits/30160
    leaflxh
        20
    leaflxh  
       2023-12-09 16:59:14 +08:00
    有类似的攻击手段,通过将恶意的代码(甚至是程序)保存到目标,然后通过某种方法去执行这段代码或是程序

    比如 PHP 图片木马,magic 值的验证可以绕过,二压有时也不会破坏恶意的代码
    opengps
        21
    opengps  
       2023-12-09 17:05:37 +08:00   ❤️ 1
    微信的本地图片什么的都是经过编码的,电脑里是 .dat 格式,你的木马即使进去了,也不过是一段被改变了的文件流,没法正常跑起来
    weijancc
        22
    weijancc  
       2023-12-10 00:38:11 +08:00   ❤️ 2
    不得不说你很会起标题, 拍大腿就说有攻击手段, 逻辑上完全是不成立的
    fantathat
        23
    fantathat  
    OP
       2023-12-10 23:10:32 +08:00 via iPhone
    @chanChristin “哲学就是装逼吗,有逼还需要装吗”
    zjyl1994
        24
    zjyl1994  
       2023-12-11 10:28:11 +08:00
    这种确实是有的,安全新闻上见过。需要构造奇怪的图片来攻击渲染图片的解码器,使他出缓存区溢出然后执行你的恶意代码,这种洞基本爆出来就会修掉。并不是随便一个木马都能塞进去的。
    zhangyw
        25
    zhangyw  
       2023-12-11 16:02:23 +08:00   ❤️ 1
    这个标题......
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1798 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 16:30 · PVG 00:30 · LAX 08:30 · JFK 11:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.