发现一种攻击手段

2023-12-09 11:03:05 +08:00
 fantathat

假设微信会把消息缓存到本地以支持离线,那么如果有人分享一个链接消息然后把预览图片在消息发出后偷偷换成木马程序会怎样,有没有可能偷偷躺着然后你不知道,微信是如何避免有人这么干的

我并不知道实际情况是怎样的,但我想知道是怎样的

3710 次点击
所在节点    分享发现
25 条回复
leaflxh
2023-12-09 11:17:26 +08:00
会校验图片的 magic 值吧,甚至是对图片进行二压
stinkytofu
2023-12-09 11:18:25 +08:00
你以为的木马程序是什么, 程序执行不需要环境? 不需要执行权限? 假如是安卓系统, 如果你傻到下载一个陌生 apk, 然后再同意未知来源安装, 终于把 apk 安装成功运行, 再同意所有权限, 那也怪不了微信了
sujin190
2023-12-09 11:31:51 +08:00
无厘头,如果你这能通,那我还有更简单的,我给你回复个自动预览的图片,或者微博什么的发个图片,但其实是个木马程序,那岂不是全部人都要中招了,这和你说的不就是一回事么
polaa
2023-12-09 12:19:54 +08:00
关键词 zero-click exploit
dear2baymax
2023-12-09 12:20:02 +08:00
难以置信能问出这种问题,op 应该不是程序员吧?
miyuki
2023-12-09 12:20:20 +08:00
那你把图片替换成木马后,如何让微信客户端从加载显示预览图变成执行你的恶意代码

这种漏洞都是重量级的

换句话说,如何让人在大街上看到一张广告牌就被催眠操纵
kera0a
2023-12-09 12:29:40 +08:00
@sujin190 真有这种,图片漏洞导致系统提权执行了图片携带的脚本😄
kera0a
2023-12-09 12:30:34 +08:00
当年 psp 破解就是用一张图片
fantathat
2023-12-09 12:59:01 +08:00
@stinkytofu 是系统安全么
fantathat
2023-12-09 13:00:35 +08:00
@sujin190 就不能是微信插件,不需要在 manifest 中的那种
fantathat
2023-12-09 13:04:43 +08:00
@dear2baymax 你说是就是,不是就不是,是是你眼中的是,非是你眼中的非,我更希望是软件设计师,不懂安全领域,所以咨询下懂行的
sujin190
2023-12-09 14:42:24 +08:00
@fantathat 你这怎么还没转过来,你以为你发个图片消息实际内容是木马对方就直接运行木马了,这么明显的漏洞你是当大家都是傻子么,如果你在两边微信都能装插件你自己就是最牛逼的木马你还发个锤子的木马

如果按上面说的图片漏洞那是不是微信都会中招,你随便打开一个网页就中招了,但微信浏览器这种体量这么大的这种漏洞几乎不存在,否则早被人发现了
doanything
2023-12-09 14:44:50 +08:00
1 楼说的对。文件有自己的 magic 值
sl0000
2023-12-09 14:51:27 +08:00
偷偷换成木马程序这一步应该是一个价值 10 万美元零日漏洞
DOLLOR
2023-12-09 15:46:10 +08:00
假设你成功地偷偷换成木马程序了,并且被别人的微信下载到硬盘里了,下一步呢?
谁来执行这个程序?你不会以为把木马程序弄到别人的手机电脑上,它就能立马发起攻击吧?

你还不如去研究各大图片库里的漏洞,直接在图片里藏恶意代码。
比如前不久的 libwebp 漏洞,攻击手段比什么“偷偷换成木马程序”高明多了。
chanChristin
2023-12-09 15:52:31 +08:00
还拽上哲学了 装啥逼呢
cabbage
2023-12-09 16:05:27 +08:00
远程任意执行漏洞历史上太多了,举个两三年前现实发生过的实例吧,关键词 kindledrip ,利用 webkit 引用 jpeg xr 图片库的漏洞,打开一个网页就能取得 root ,理论上可以盗取亚马逊账号和信用卡
cabbage
2023-12-09 16:09:34 +08:00
少补充了,kindledrip 是 kindle 阅读器的漏洞,影响面太小了,但原理跟 op 描述的是一个道理
leloext
2023-12-09 16:22:37 +08:00
远古时代还真有过 ico 漏洞,不过还好当时只是 DoS ,不是 remote exploit. https://www.exploit-db.com/exploits/30160
leaflxh
2023-12-09 16:59:14 +08:00
有类似的攻击手段,通过将恶意的代码(甚至是程序)保存到目标,然后通过某种方法去执行这段代码或是程序

比如 PHP 图片木马,magic 值的验证可以绕过,二压有时也不会破坏恶意的代码

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/998900

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX