Winrar目錄穿越漏洞復現

0x01 漏洞描述

近日Check Point團隊爆出了一個關於WinRAR存在19年的漏洞，用它來可以獲得受害者計算機的控制。攻擊者只需利用此漏洞構造惡意的壓縮文件，當受害者使用WinRAR解壓該惡意文件時便會觸發漏洞。

該漏洞是由於 WinRAR 所使用的一個陳舊的動態鏈接庫UNACEV2.dll所造成的，該動態鏈接庫在 2006 年被編譯，沒有任何的基礎保護機制(ASLR, DEP 等)。動態鏈接庫的作用是處理 ACE 格式文件。而WinRAR解壓ACE文件時，由於沒有對文件名進行充分過濾，導致其可實現目錄穿越，將惡意文件寫入任意目錄,甚至可以寫入文件至開機啟動項，導致代碼執

0x02 漏洞影響

 

影響軟件：

WinRAR < 5.70 Beta 1

Bandizip < = 6.2.0.0

好壓(2345壓縮) < = 5.9.8.10907

360壓縮 < = 4.0.0.1170

0x03  漏洞危害

1. 通過這個漏洞黑客可以將惡意程序放入用戶啟動項，當目標電腦重新啟動時獲取目標主機的權限。

2. 在擁有system權限下可以放入

c:/windows/system32/wbem/mof/nullevt.mof，直接在獲取目標主機的權限。

3. 可以投放惡意dll文件進行dll劫持獲取到目標主機的權限,或者覆蓋用戶主機上的文件等方式獲取目標主機的權限

 

0x04  漏洞細節

 漏洞主要是由Winrar用來解壓ACE壓縮包采用的動態鏈接庫unacev2.dll這個dll引起的。unacev2.dll中處理filename時只校驗了CRC，黑客可以通過更改壓縮包的CRC校驗碼來修改解壓時候的filename來觸發這個Path Traversal漏洞。但是Winrar本身檢測了filename，有一些限制並且普通用戶解壓RAR文件時候不能將我們惡意的Payload解壓到需要System權限的文件夾。當用戶將文件下載到默認的C:\Users\Administrator\Downloads目錄下時，我們通過構造

C:\C:C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe 

經過Winrar的CleanPath函數處理會變成

C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe

其中C:會被轉換成當前路徑，如果用Winrar打開那么當前路徑就是C:\Program Files\WinRAR，要是在文件夾中右鍵解壓到xxx\那么當前路徑就是壓縮包所在的路徑。

當用戶在文件夾中直接右鍵解壓到xx那么我們惡意的payload解壓地址就會變成

C:\Users\Administrator\Downloads../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe

就是當前用戶的啟動項。這樣一個利用完成了從一個Path Traversal到任意命令執行的過程。

 

 

0x05   漏洞復現

該漏洞的實現過程：首先新建一個任意文件(也可以指定一個后門exe文件都可以），然后利用WinACE進行壓縮，修改filename來實現目錄穿越漏洞，可以將文件解壓到任意目錄中。

主要所需工具WinACE、010Editor，下載地址為：

http://d3gkuj25u7yvfk.cloudfront.net/97m4@s345u2a5/Installer_winace_2.69.exe

https://download.sweetscape.com/010EditorWin64Installer901.exe

1.下載WinACE並安裝，安裝完成后，新建一個文本文件，名字可以任意，這里為backlion.txt。

2.利用WinACE進行壓縮,這里選擇store full path.

3.通過腳本檢查rar的header信息，其腳本下載地址為：

https://raw.githubusercontent.com/backlion/acefile/master/acefile.py

python acefile.py --headers backlion.ace

需要注意以下參數：

hdr_crc
hdr_size
filename的長度
filename

 

 

4.我們開始修改，要把他放置在啟動項

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\backlion.txt。這里修改如下：

5.選中文件位置，可以看到其文件的長度為65（十進制，這里需要轉換成十六進制）

 

長度為65(十進制)->0x41

6.其修改的長度位置：00  41( 修改順序是由后到前）

然后修改 hdr_size的值，這里選擇如下位置,可以看到其長度為96（十進制，這里需要轉換成十六進制）。

長度為96(十進制)->0x0060

其修改的位置如下：

 

 

7.然后這個時候我們使用acefile.py進行解析ace文件，就可以爆錯/

D:\python3>python acefile.py --headers backlion.ace

[+] right_hdr_crc : 0xcda5 | struct b'\xa5\xcd'

[*] current_hdr_crc : 0xed55 | struct b'U\xed'

backlion.ace: CorruptedArchiveError: header CRC failed

8.我們可以看出正確的CRC值為  0xcda5， 所以進行如下修改：

9.再次解析發現成功

 

10.解壓backlion.rce文件，就會在其啟動項下釋放一個文件為backlion.txt 文件

 

 

腳本自動化利用：

另附上自定腳本執行：

https://github.com/backlion/CVE-2018-20250

其中里面的:calc.exe可以換成你的木馬文件，這里為了測試方便我用計算器來替換，然后 world.txt和hello.txt是你需要壓縮的文件。

執行exp.py腳本后，會自動生成test.rar文件。

 

只需要受害者打開test.rar文件就會在你當前用戶的啟動選項下生產一個后門文件hh.exe

C:\Users\ 這個是當前計算機使用的用戶名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\

C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

 

 

 

 

 

0x06   修復建議

有兩種方式

1. 升級到最新版本，WinRAR 目前版本是 5.70 Beta 1

2. 刪除其安裝目錄下的UNACEV2.dll文件

 

 

0x07  參考

https://research.checkpoint.com/extracting-code-execution-from-winrar/

https://fuping.site/2019/02/21/WinRAR-Extracting-Code-Execution-Validate/

https://mp.weixin.qq.com/s/j8G9Tjq2NPg0CFhXl_sQGQ

https://github.com/Ridter/acefile

 

 

<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">