• SEO文章推广! 合作联系qq:122325244 正式全面改版 !免费SEO地址:https://www.seozhan.cn/tool 站长QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏SEO站长博客吧

Winrar报严重漏洞,可执行恶意程序(包含360rar、好压等)

脚本编程 SEO站长博客 1周前 (08-10) 63次浏览 已收录 0个评论

简介1、漏洞概述 WinRAR 是一款功能强大的压缩包管理器,它是档案工具 RAR 在 Windows 环境下的图形界面。2019 年 2 月 20 日 Check Point 团队爆出了一个关于 WinRAR 存在 19 年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受

1、漏洞概述

WinRAR 是一款功能强大的压缩包管理器,它是档案工具 RAR 在 Windows 环境下的图形界面。2019 年 2 月 20 日 Check Point 团队爆出了一个关于 WinRAR 存在 19 年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用 WinRAR 解压该恶意文件时便会触发漏洞

漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库 UNACEV2.dll 所造成的,该动态链接库在 2006 年被编译,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而 WinRAR 解压 ACE 文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码执行。

影响版本:

  WinRAR < 5.70 Beta 1

  Bandizip < = 6.2.0.0

  好压(2345 压缩) < = 5.9.8.10907

  360 压缩 < = 4.0.0.1170

漏洞危害:

  通过这个漏洞黑客可以将恶意程序放入用户启动项,当目标电脑重新启动时获取目标主机的权限。替换任意 dll 文件或覆盖任意配置文件。

漏洞细节: 

https://research.checkpoint.com/extracting-code-execution-from-winrar/

漏洞主要是由 Winrar 用来解压 ACE 压缩包采用的动态链接库 unacev2.dll 这个 dll 引起的。unacev2.dll 中处理 filename 时只校验了 CRC,黑客可以通过更改压缩包的 CRC 校验码来修改解压时候的 filename 来触发这个 Path Traversal 漏洞。但是 Winrar 本身检测了 filename,有一些限制并且普通用户解压 RAR 文件时候不能将我们恶意的 Payload 解压到需要 System 权限的文件夹。所以当用户将文件下载到默认的 C:\Users\Administrator\Downloads 目录下时,我们通过构造

 

C:\C:C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\test.exe

经过 Winrar 的 CleanPath 函数处理会变成

C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\test.exe

其中 C:会被转换成当前路径,如果用 Winrar 打开那么当前路径就是 C:\Program Files\WinRAR,要是在文件夹中右键解压到 xxx\那么当前路径就是压缩包所在的路径。

当用户在文件夹中直接右键解压到 xx 那么我们恶意的 payload 解压地址就会变成

 C:\Users\Administrator\Downloads../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\test.exe

就是当前用户的启动项。这样一个利用完成了从一个 Path Traversal 到任意命令执行的过程。

2、漏洞复现

所需软件:WinACE、Winhex/010Editor、Winrar5.50

(1)在桌面创建一个 txt 文件,hello.txt

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

(2)使用 WinACE 将 hello.txt 压缩,注意选择 store full path.

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

(3)使用 010Editor 打开 hello.txt,修改原路径为以下路径(启动项)

C:\C:C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hello.txt

 

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

(4)修改长度,选中路径,可见修改之前文件长度为 29

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

(5)修改后选中文件长度为 81

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

(6)因此修改以下位,值为 51(因为 81 是十进制,所以要改为 hex 的 16 进制)

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

(7)同样,将以下文件长度改为 70

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

(8)使用 acefile.py 进行解析 ace 文件,acefile.py 文件地址(https://github.com/backlion/CVE-2018-20250/blob/master/acefile.py)

命令:

python acefile.py --headers hello.

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

报错,且提示正确的 crc 为 0xa350,修改文件 crc 为 50 a3 顺序从右到左。

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

修改后未报错则说明修改成功

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

(9)使用 Winrar 解压缩即可将 hello.txt 释放到 C:\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

(10)如果将 hello.txt 换为后门则可以配合 msf 远程控制受害机器

https://github.com/backlion/CVE-2018-20250

GitHub 的 POC-exp.py 可以制作一个含有 exe 文件的漏洞压缩包,只要用户使用低版本的 Winrar 即可被种下 exe 后门。

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

Winrar 报严重漏洞,可执行恶意程序(包含 360rar、好压等)

 

3、修复建议:

 

  1. 升级到最新版本,WinRAR 目前版本是 5.70 Beta 1
  2. 删除其安装目录下的 UNACEV2.dll 文件

SEO站长博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Winrar报严重漏洞,可执行恶意程序(包含360rar、好压等)
喜欢 (0)
[h4ck3st@126.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址