Winrar目录穿越漏洞复现

朱雀 2024-03-31 11:38 50阅读 0赞

### 0x01 漏洞描述 ###

近日Check Point团队爆出了一个关于WinRAR存在19年的漏洞，用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件，当受害者使用WinRAR解压该恶意文件时便会触发漏洞。

该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的，该动态链接库在 2006 年被编译，没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时，由于没有对文件名进行充分过滤，导致其可实现目录穿越，将恶意文件写入任意目录,甚至可以写入文件至开机启动项，导致代码执

### 0x02 漏洞影响 ###

影响软件：

WinRAR < 5.70 Beta 1

Bandizip < = 6.2.0.0

好压(2345压缩) < = 5.9.8.10907

360压缩 < = 4.0.0.1170

### **0x03** **漏洞危害** ###

1. 通过这个漏洞黑客可以将恶意程序放入用户启动项，当目标电脑重新启动时获取目标主机的权限。

2. 在拥有system权限下可以放入

c:/windows/system32/wbem/mof/nullevt.mof，直接在获取目标主机的权限。

3. 可以投放恶意dll文件进行dll劫持获取到目标主机的权限,或者覆盖用户主机上的文件等方式获取目标主机的权限

### **0x04 漏洞细节** ###

漏洞主要是由Winrar用来解压ACE压缩包采用的动态链接库unacev2.dll这个dll引起的。unacev2.dll中处理filename时只校验了CRC，黑客可以通过更改压缩包的CRC校验码来修改解压时候的filename来触发这个Path Traversal漏洞。但是Winrar本身检测了filename，有一些限制并且普通用户解压RAR文件时候不能将我们恶意的Payload解压到需要System权限的文件夹。当用户将文件下载到默认的C:\\Users\\Administrator\\Downloads目录下时，我们通过构造

C:\\C:C:../AppData\\Roaming\\Microsoft\\Windows\\StartMenu\\Programs\\Startup\\test.exe

经过Winrar的CleanPath函数处理会变成

C:../AppData\\Roaming\\Microsoft\\Windows\\StartMenu\\Programs\\Startup\\test.exe

其中C:会被转换成当前路径，如果用Winrar打开那么当前路径就是C:\\Program Files\\WinRAR，要是在文件夹中右键解压到xxx\\那么当前路径就是压缩包所在的路径。

当用户在文件夹中直接右键解压到xx那么我们恶意的payload解压地址就会变成

C:\\Users\\Administrator\\Downloads../AppData\\Roaming\\Microsoft\\Windows\\StartMenu\\Programs\\Startup\\test.exe

就是当前用户的启动项。这样一个利用完成了从一个Path Traversal到任意命令执行的过程。

### 0x05 漏洞复现 ###

该漏洞的实现过程：首先新建一个任意文件(也可以指定一个后门exe文件都可以)，然后利用WinACE进行压缩，修改filename来实现目录穿越漏洞，可以将文件解压到任意目录中。

主要所需工具[`WinACE`][WinACE]、010Editor，下载地址为：

[http://d3gkuj25u7yvfk.cloudfront.net/97m4@s345u2a5/Installer\_winace\_2.69.exe][http_d3gkuj25u7yvfk.cloudfront.net_97m4_s345u2a5_Installer_winace_2.69.exe]

https://download.sweetscape.com/010EditorWin64Installer901.exe

1.下载WinACE并安装，安装完成后，新建一个文本文件，名字可以任意，这里为backlion.txt。

![f6e2d3c068cf633183738c1f678ef7ae.png][]

2.利用WinACE进行压缩,这里选择store full path.

![e3e8424e8a9f89acb62f1b206a4ec7a3.jpeg][]

3.通过脚本检查rar的header信息，其脚本下载地址为：

https://raw.githubusercontent.com/backlion/acefile/master/acefile.py

python acefile.py --headers backlion.ace

![4ffc9d4cb473b4409b1fa9ab07fd34e2.png][]

需要注意以下参数：

`hdr_crc``hdr_size``filename的长度``filename`

4.我们开始修改，要把他放置在启动项

C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\backlion.txt。这里修改如下：

![fe9b4fd8fc5d7722deaf5bb4c160b1c4.png][]

5.选中文件位置，可以看到其文件的长度为65(十进制，这里需要转换成十六进制)

![1a498a5d07366e1564a7e8369952aa01.png][]

长度为65(十进制)->0x41

![a88ab90c744cc5bcc1373b69b4c5d780.png][]

6.其修改的长度位置：00 41( 修改顺序是由后到前)

![fe91e0c975546bc26323fbba219d1615.png][]

然后修改 `hdr_size的值，这里选择如下位置,可以看到其长度为96(十进制，这里需要转换成十六进制)。`

![68b0e899548432214d3586fae6c7d5b6.png][]

长度为96(十进制)->0x0060

![c275d0afe691b0ba5fe72973e5002056.png][]

其修改的位置如下：

![a6dc19792474b66859f25ea542dc79fb.png][]

7.然后这个时候我们使用acefile.py进行解析ace文件，就可以爆错/

D:\\python3>python acefile.py --headers backlion.ace

\[+\] right\_hdr\_crc : 0xcda5 | struct b'\\xa5\\xcd'

\[\*\] current\_hdr\_crc : 0xed55 | struct b'U\\xed'

backlion.ace: CorruptedArchiveError: header CRC failed

![576e0f6fbc9911d5cd9477d25437a63e.png][]

8.我们可以看出正确的CRC值为 0xcda5， 所以进行如下修改：

![84ae6c1302f35b70afdb3f43b286bc48.png][]

9.再次解析发现成功

![e68a9933a48ca2f94353f318f94a8aa2.png][]

10.解压backlion.rce文件，就会在其启动项下释放一个文件为backlion.txt 文件

![98b4488a4a791295bd80aedc58e5dfff.png][]

脚本自动化利用：

另附上自定脚本执行：

[https://github.com/backlion/CVE-2018-20250][https_github.com_backlion_CVE-2018-20250]

其中里面的:calc.exe可以换成你的木马文件，这里为了测试方便我用计算器来替换，然后 [world.txt][]和hello.txt是你需要压缩的文件。

执行exp.py脚本后，会自动生成test.rar文件。

![665f909a5da0b18c079b5db1e02ad3c1.png][]

![Image 1][]

只需要受害者打开test.rar文件就会在你当前用户的启动选项下生产一个后门文件hh.exe

C:\\Users\\ **这个是当前计算机使用的用户名**\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\

C:\\Users\\xxx\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup

![1c1b8e16bf215aeaad1852eb746795c0.png][]

![Image 1][]

### 0x06 修复建议 ###

有两种方式

1.  升级到最新版本，WinRAR 目前版本是 5.70 Beta 1
2.  删除其安装目录下的UNACEV2.dll文件

### 0x07 参考 ###

[https://research.checkpoint.com/extracting-code-execution-from-winrar/][https_research.checkpoint.com_extracting-code-execution-from-winrar]

[https://fuping.site/2019/02/21/WinRAR-Extracting-Code-Execution-Validate/][https_fuping.site_2019_02_21_WinRAR-Extracting-Code-Execution-Validate]

[https://mp.weixin.qq.com/s/j8G9Tjq2NPg0CFhXl\_sQGQ][https_mp.weixin.qq.com_s_j8G9Tjq2NPg0CFhXl_sQGQ]

[https://github.com/Ridter/acefile][https_github.com_Ridter_acefile]

<wiz\_tmp\_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">

[WinACE]: https://web.archive.org/web/20170714193504/http:/winace.com:80/
[http_d3gkuj25u7yvfk.cloudfront.net_97m4_s345u2a5_Installer_winace_2.69.exe]: http://d3gkuj25u7yvfk.cloudfront.net/97m4@s345u2a5/Installer_winace_2.69.exe
[f6e2d3c068cf633183738c1f678ef7ae.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/fc6b5c20fb9e4d2893bc81d772d45351.png
[e3e8424e8a9f89acb62f1b206a4ec7a3.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/2c027c928d5d465aab3072cf8ef6e6be.jpeg
[4ffc9d4cb473b4409b1fa9ab07fd34e2.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/79c12e43e5b040f686e22f7415ae90aa.png
[fe9b4fd8fc5d7722deaf5bb4c160b1c4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/597f9f6b5e724ca48410743c683479f2.png
[1a498a5d07366e1564a7e8369952aa01.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/fdb580901f2e4e38a1f4700d15575a05.png
[a88ab90c744cc5bcc1373b69b4c5d780.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/eaac1665e4dc4755a2450f554695daba.png
[fe91e0c975546bc26323fbba219d1615.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/4b57354a126f456a9557a3eb92417dd9.png
[68b0e899548432214d3586fae6c7d5b6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/f917b072788d4d7caf34547843963612.png
[c275d0afe691b0ba5fe72973e5002056.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/97f7298a1c66456fbb3530c58fe3cb1f.png
[a6dc19792474b66859f25ea542dc79fb.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/bc62b6acdabe4df0ba2d19764a40e087.png
[576e0f6fbc9911d5cd9477d25437a63e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/dc1177aa350d428f93668ae874a72717.png
[84ae6c1302f35b70afdb3f43b286bc48.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/a15569cee0e047c3935436512302e103.png
[e68a9933a48ca2f94353f318f94a8aa2.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/a39fe314e171425f8601400bb1354f84.png
[98b4488a4a791295bd80aedc58e5dfff.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/e51cf80e771c4293b5d169ae69d8b1d8.png
[https_github.com_backlion_CVE-2018-20250]: https://github.com/backlion/CVE-2018-20250
[world.txt]: https://github.com/backlion/CVE-2018-20250/blob/master/world.txt
[665f909a5da0b18c079b5db1e02ad3c1.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/280cadf3e4f74094a7191f662d1e8cb3.png
[Image 1]: 
[1c1b8e16bf215aeaad1852eb746795c0.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/7487fcc9109f40dabdcacfebd1fe3bba.png
[https_research.checkpoint.com_extracting-code-execution-from-winrar]: https://research.checkpoint.com/extracting-code-execution-from-winrar/
[https_fuping.site_2019_02_21_WinRAR-Extracting-Code-Execution-Validate]: https://fuping.site/2019/02/21/WinRAR-Extracting-Code-Execution-Validate/
[https_mp.weixin.qq.com_s_j8G9Tjq2NPg0CFhXl_sQGQ]: https://mp.weixin.qq.com/s/j8G9Tjq2NPg0CFhXl_sQGQ
[https_github.com_Ridter_acefile]: https://github.com/Ridter/acefile