winrar.jpg

1、概述

近期，Check Point公布了之前向WinRAR報(bào)告的幾個(gè)安全漏洞（CVE-2018-2025[0-3]），攻擊者可利用該漏洞制作惡意ACE格式文件，當(dāng)該文件被WinRAR解壓縮的時(shí)候，能利用UNACEV2.dll中的路徑遍歷漏洞欺騙WinRAR將文件解壓縮到攻擊者指定的路徑，如釋放惡意程序到系統(tǒng)啟動(dòng)路徑。通過(guò)本實(shí)驗(yàn)學(xué)習(xí)漏洞原理，利用方法以及防御方法。

2、漏洞背景：

2019 年 2 月 20 日 Check Point團(tuán)隊(duì)爆出了一個(gè)關(guān)于WinRAR存在19年的漏洞，用它來(lái)可以獲得受害者計(jì)算機(jī)的控制。攻擊者只需利用此漏洞構(gòu)造惡意的壓縮文件，當(dāng)受害者使用WinRAR解壓該惡意文件時(shí)便會(huì)觸發(fā)漏洞。
WinRAR 代碼執(zhí)行相關(guān)的 CVE 編號(hào)如下：
CVE-2018-20250, CVE-2018-20251, CVE-2018-20252,CVE-2018-20253
該漏洞是由于 WinRAR 所使用的一個(gè)陳舊的動(dòng)態(tài)鏈接庫(kù)UNACEV2.dll所造成的，該動(dòng)態(tài)鏈接庫(kù)在 2006 年被編譯，沒(méi)有任何的基礎(chǔ)保護(hù)機(jī)制(ASLR, DEP 等)。該動(dòng)態(tài)鏈接庫(kù)的作用是處理 ACE 格式文件。在對(duì)解壓目標(biāo)的相對(duì)路徑進(jìn)行解析時(shí)，CleanPath函數(shù)過(guò)濾不嚴(yán)導(dǎo)致目錄穿越漏洞,允許解壓過(guò)程寫(xiě)入文件至開(kāi)機(jī)啟動(dòng)項(xiàng)，導(dǎo)致代碼執(zhí)行。

3、漏洞利用條件：

不能跨盤(pán)符，即受害者進(jìn)行解壓文件觸發(fā)漏洞時(shí)，必須在系統(tǒng)盤(pán)，且在不知道計(jì)算機(jī)主機(jī)名的情況下，只能在主瀏覽器的默認(rèn)下載路徑下或者桌面進(jìn)行解壓。

WinAce：一款來(lái)自德國(guó)的絕對(duì)強(qiáng)悍的壓縮和解壓縮程序，功能及支持格式相當(dāng)齊全，功能方面包括壓縮與解壓縮之外、還有分片壓縮、加密功能、支持鼠標(biāo)右鍵快顯功能，建立自動(dòng)解壓縮等，支持的格式更豐富包括程序本身的ACE及ZIP、RAR、LZH、ARJ、TAR、CAB、LHA、GZIP等，幾乎常用的程序都支持，另 WinACE可預(yù)設(shè)壓縮及解壓縮路徑、編輯程序、掃毒程序等。

4、實(shí)驗(yàn)環(huán)境

攻擊機(jī)：KALI Linux

目標(biāo)機(jī)：Windows10_64（安裝Winrar、WinAce、HxD或者其他二進(jìn)制編輯器）

戳下方鏈接馬上在線(xiàn)體驗(yàn)????
實(shí)驗(yàn):WinRAR代碼執(zhí)行漏洞分析和利用

5、說(shuō)明

本文由合天網(wǎng)安實(shí)驗(yàn)室原創(chuàng)，轉(zhuǎn)載請(qǐng)注明來(lái)源

關(guān)于合天網(wǎng)安實(shí)驗(yàn)室

合天網(wǎng)安實(shí)驗(yàn)室（www.hetianlab.com）-國(guó)內(nèi)領(lǐng)先的實(shí)操型網(wǎng)絡(luò)安全在線(xiàn)教育平臺(tái) 真實(shí)環(huán)境，在線(xiàn)實(shí)操學(xué)網(wǎng)絡(luò)安全 ； 實(shí)驗(yàn)內(nèi)容涵蓋：系統(tǒng)安全，軟件安全，網(wǎng)絡(luò)安全，Web安全，移動(dòng)安全，CTF，取證分析，滲透測(cè)試，網(wǎng)安意識(shí)教育等。