WinRAR目录穿越漏洞复现及防御

最新推荐文章于 2024-12-10 10:31:24 发布
最新推荐文章于 2024-12-10 10:31:24 发布
阅读量509 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yalecaltech/article/details/88587051
本文深入探讨了在WinRAR中存在长达19年的逻辑问题,详细解析了CVE-2018-20250至CVE-2018-20253系列漏洞的原理及修复方法。通过分析动态链接库UNACEV2.dll的安全隐患,展示了如何利用目录穿越漏洞实现代码执行,同时提供了恶意文件的构造步骤及防御措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01漏洞背景
2019 年 2 月 20 日 @Nadav Grossman 发表了一篇关于他如何发现一个在 WinaRAR 中存在 19 年的逻辑问题以至成功实现代码执行的文章。
WinRAR 代码执行相关的 CVE 编号如下:
CVE-2018-20250, CVE-2018-20251, CVE-2018-20252, CVE-2018-20253
该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在 2006 年被编译,没有任何的基础保护机制(ASLR, DEP 等)。该动态链接库的作用是处理 ACE 格式文件。而在解压处理过程中存在一处目录穿越漏洞,允许解压过程写入文件至开机启动项,导致代码执行。

0x02准备工作
下载安装winace,一路默认安装即可
在这里插入图片描述
新建一个demo文件夹,创建名为test的文本文档,内容如下
在这里插入图片描述
使用winace打开
在这里插入图片描述
点击右上角file->create
在这里插入图片描述
阴影部分下拉框选择store full path
点击add即可
此时在demo文件夹下生成了test.ace
在这里插入图片描述

0x03熟悉ACE格式
接下来使用16进制编辑器打开(winhex,010Editor也行),此处使用010Editor进行
在这里插入图片描述
待会儿需要在这儿修改一些数据
接下啦先git clone https://github.com/droe/acefile
我们需要使用acefile.py来进行校验等操作,这是python3写的,它的功能是
1、可以提取ACE档案。
2、包含有关ACE文件格式的简要说明。
3、有一个非常有用的功能,打印文件格式标题和解释
win上没有3的环境,所以我使用kali来进行
首先下载test.ace
在这里插入图片描述
然后查看文件头信息
在这里插入图片描述
回显如下
在这里插入图片描述
关键参数详细说明:
·hdr_crc:
两个CRC字段存在于2个标头中。如果CRC与数据不匹配,则中断提取。
·文件名:
文件名包含文件的相对路径。在提取过程中(包括文件)创建相对路径中指定的所有目录。文件名的大小由十六进制转储中的2个字节(小端)定义。
·advert:
如果使用未注册版本的WinACE创建存档,则在创建ACE存档期间,WinACE会自动添加广告字段。
·文件内容:
“origsize” - 内容的大小。
“hdr_size” – 头部大小。

上图可以看到crc为0xc5e9,size为63,这个63是十进制,转换为16进制为
在这里插入图片描述
而在010Editor中看到的是相反的(小端序),如c5e9,在下图则是e9c5,003f在下图则是3f00
在这里插入图片描述
另外还有个参数就是文件名长度,使用acefile没检测,我们可以手动查看
在这里插入图片描述
阴影部分即文件名,长度在最下面的选区中可以看到是20h,即对应阴影选中前的2000

0x04构造恶意文件
很明显,crc受限于文件内容,size受限于文件内容,文件名长度受限于文件文件名,所以需要从文件内容、文件名开始修改
(使用010Editor的好处就是可以直接在左侧进行修改)
下图橙色的就是我们修改的内容
在这里插入图片描述
把hello world改成bye world,文件名改成了evil.txt
之后按照上面的分析,我们需要修改文件名长度这个参数
在这里插入图片描述
长度为1bh,所以将2000改为1b00即可
在这里插入图片描述
然后修改size
在这里插入图片描述
大小为3ah,将阴影前的3f00(原size)修改为3a00(现在的size)
在这里插入图片描述
接下来修改CRC,crc怎么修改呢?crc是循环冗余校验,根据文件自有的算法得出,那么我们怎么才能得到修改后的文件的CRC呢?
别忘了我们之前的acefile.py,这个脚本为了获取ace文件信息,肯定会先对ace文件进行校验,查看它的代码找到校验逻辑不就好了?
在这里插入图片描述
代码很长,通读不显示,不如把刚才修改后的文件先校验一下,看看会出什么提示,然后根据关键字去定位代码段
重新在kali下载修改后的ace
在这里插入图片描述
然后检测
在这里插入图片描述
果然提示文件头CRC校验出错
根据关键字定位到代码片段
在这里插入图片描述
根据逻辑,3060行的判断成立时则会抛出crc校验出错的提示,为此,我们可以打印出if判断的对象,即ace_crc16(buf)
在3061行插入一句代码即可
在这里插入图片描述
再次运行
在这里插入图片描述
36050便是我们的crc了
同样转成16进制
在这里插入图片描述
将相应位置数据修改为D28C即可
在这里插入图片描述
保存后再次校验
在这里插入图片描述
没有出错,并且显示了头信息
到这一步,我们的恶意文件就制作完成了。

0x05执行攻击
受害者如果按照平时的情况解压
在这里插入图片描述

则会在我们设置好的路径下解压出恶意文件

在这里插入图片描述在这里插入图片描述
0x06修复
1.尽快升级到最新版本的 WinRAR
下载地址如下
32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2.删除UNACEV2.dll
找到所使用的压缩文件,右键打开文件所在位置
在这里插入图片描述
在打开的文件夹下删除该文件即可
在这里插入图片描述

0x07参考
https://research.checkpoint.com/extracting-code-execution-from-winrar/

Elwood Ying
关注
Winrar漏洞复现(CVE-2018-20250)
谢公子的博客
04-28 3096
本文讲的是Winrar漏洞利用脚本的使用方法,至于Winrar漏洞的原理,请移步——>Winrar目录穿越漏洞复现 本次利用脚本出处——>https://github.com/backlion/CVE-2018-20250 下载完该脚本后,解压,我们会得到下面这些文件。calc.exe可以替换成我们的木马文件,hello.txt和world.txt则是压缩包中的文件,我们也可以...
[漏洞挖掘与防护] 03.漏洞利用之WinRAR安全缺陷复现(CVE-2018-20250)及软件自启动分析
杨秀璋的专栏
08-26 702
上一篇文章将详细介绍MS08-067远程代码执行漏洞(CVE-2008-4250)及防御过程,它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。这篇文章将详细讲解WinRAR漏洞(CVE-2018-20250),并复现了该漏洞和讲解了恶意软件自启动劫持原理。基础性文章,希望对入门的同学有帮助。
winRAR目录穿越漏洞复现全过程
向晨的博客
03-01 1304
winRAR目录穿越漏洞 1. winRAR概述 WinRAR 是一款功能强大的压缩包管理器,它是档案工具RAR在 Windows环境下的图形界面。该软件可用于备份数据,缩减文件的的大小,解压缩从网络上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。 2WinRAR漏洞 今天给大家带来的是WinRAR中发现的漏洞,并且此漏洞已经使用了19年之久。该漏洞当处...
【漏洞复现WinRAR目录穿越漏洞(CVE-2018-20250)
VI___
12-30 2070
好不容易下了个 WinRAR 5.4 ,不容易啊。。 一、CVE-2018-20250 该漏洞由 Check Point 团队爆出,存在19了年之久,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用低版本的 WinRAR 解压该恶意文件时便会触发漏洞。 二、漏洞产生的原理 该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNAC...
Winrar目录穿越漏洞复现
玄道的网安博客
02-25 897
  0x01 漏洞描述 近日Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。 该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在 2006 年被编译,没有任何的基础保护机制(ASLR, DEP...
WinRAR CVE-2018-20250 漏洞复现
weixin_44283446的博客
12-07 914
WinRAR Exploit CVE-2018-20250 漏洞复现引言漏洞影响漏洞复现复现环境总结 引言 该漏洞是由于WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在2006 年被编译,没有任何的基础保护机制(ASLR,DEP 等)。在解压处理过程中存在一处目录穿越漏洞,允许解压过程写入文件至开机启动项,导致代码执行。 遇见这个漏洞复现研究,记录一下吧~ 漏洞影响 WinRAR < 5.70 Beta 1 Bandizip < = 6.2.0.0
Java防御目录穿越漏洞方法_WinRAR目录穿越漏洞复现防御
weixin_35794316的博客
03-01 1131
漏洞背景2019 年220日 @NadavGrossman 发表了一篇关于他如何发现一个在WinRAR 中存在19 年的逻辑问题以至成功实现代码执行的文章。WinRAR 代码执行相关的CVE 编号如下:CVE-2018-20250,CVE-2018-20251, CVE-2018-20252, CVE-2018-20253该漏洞是由于WinRAR 所使用的一个陈旧的动态链接库UNACEV2....
[系统安全] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(bat病毒、自启动、定时关机、蓝屏攻击)
杨秀璋的专栏
02-03 7099
作者前文介绍了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解;这篇文章将讲解简单的病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-20250)利用让大家感受下病毒攻击的过程,提出了安全相关建议,包括自动启、修改密码、定时关机、蓝屏、进程关闭等功能。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
[漏洞挖掘与防护] 05.CVE-2018-12613:phpMyAdmin 4.8.1后台文件包含缺陷复现防御措施
最新发布
杨秀璋的专栏
12-10 528
这是作者新开的一个专栏——“漏洞挖掘与防护”。这篇文章将分享一个phpMyAdmin 4.8.1版本的文件包含漏洞,从配置到原理,再到漏洞复现进行讲解,更重要的是让大家了解这些真实漏洞背后的知识。基础性文章,希望对您有所帮助!
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6159
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
漏洞复现-WinRAR代码执行漏洞
玄道的网安博客
08-13 671
漏洞编号影响版本:RARLabs WinRAR版本在6.23之前漏洞描述:RARLabs WinRAR在6.23版本之前存在一个漏洞,该漏洞允许攻击者在用户尝试查看ZIP存档中的良性文件时执行任意代码。
WinRAR远程代码执行漏洞复现(CVE-2018-20250)
小赵同学的博客
02-05 417
漏洞简介 该漏洞是由于WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在2006 年被编译,没有任何的基础保护机制(ASLR, DEP等)。该动态链接库的作用是处理ACE 格式文件。而在解压处理过程中存在一处目录穿越漏洞,允许解压过程写入文件至开机启动项,导致代码执行。 1. 准备环境 WinRAR < 5.70版本(我使用的5.60) 靶机:Windows 7 IP:192.168.228.130 攻击机:kali IP:192.168.228.128 Ex
WinRAR代码执行漏洞CVE-2023-38831复现
键盘上温暖而又美好的时光 .
08-29 392
rar poc
winrar远程代码执行漏洞复现(cve-2018-20250)
whatday的专栏
01-10 1312
使用metasploit验证漏洞 1.漏洞影响 WinRAR < 5.70 Beta 1 Bandizip< = 6.2.0.0 好压(2345压缩) < = 5.9.8.10907 360压缩< = 4.0.0.1170 2.环境搭建 攻击机:kali-2019 ip:192.168.0.171 靶机:windo...
CVE-2023-38831(Winrar RCE)漏洞复现与分析
m0_55994898的博客
12-10 4357
本文对Winrar RCE漏洞(CVE-2023-38831)进行复现以及原理分析,对攻击过程进行还原,让你更直观的感受此漏洞的攻击面。对于Reverse本人并不擅长,所以此篇文章参考了很多互联网公开的对此漏洞的研究分析报告,文末标注。
CVE-2021-35052 winrar 远程代码执行漏洞复现
Armandhe的博客
10-29 548
没错,我又来水文章了!!!
【漏洞复现】RARLAB WinRAR 代码执行漏洞RCE (CVE-2023-38831)
李火火的安全圈
09-11 1273
WinRAR 是一款功能强大的压缩包管理器,它是档案工具RAR在 Windows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。WinRAR在处理压缩包内同名的文件与文件夹时代码执行漏洞,攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件,诱导受害者打开此文件后,将在受害者机器上执行任意代码。
NGINX-目录穿越漏洞
大方子
07-29 4305
复现环境 centos7 docker vulhub(git) 复现过程 进入/root/vulhub/nginx/insecure-configuration目录 输入docker compose up -d 开启容器 访问下files 在files后面加上..可穿越到上级目录 导致漏洞的原因,url上/files没有加后缀/,而ali...
【漏洞分析】WinRAR远程代码执行漏洞攻击复现及原理学习(CVE-2018-20250)
kynehc
03-15 4280
一、CVE-2018-20250漏洞利用复现 1.1 下载WinRAR远程代码执行漏洞EXP利用文件 https://github.com/WyAtu/CVE-2018-20250 1.2 用https://www.ngrok.cc/开通一个免费隧道转发代理,把ngrok隧道协议设置成TCP,内网IP改成自己的KaliLinux的内网IP,内网端口号任意填写不冲突即可。 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值