WinRAR祖传神级漏洞复现和利用

winrar.jpg

1、概述

近期，Check Point公布了之前向WinRAR报告的几个安全漏洞（CVE-2018-2025[0-3]），攻击者可利用该漏洞制作恶意ACE格式文件，当该文件被WinRAR解压缩的时候，能利用UNACEV2.dll中的路径遍历漏洞欺骗WinRAR将文件解压缩到攻击者指定的路径，如释放恶意程序到系统启动路径。通过本实验学习漏洞原理，利用方法以及防御方法。

2、漏洞背景：

2019 年 2 月 20 日 Check Point团队爆出了一个关于WinRAR存在19年的漏洞，用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件，当受害者使用WinRAR解压该恶意文件时便会触发漏洞。
WinRAR 代码执行相关的 CVE 编号如下：
CVE-2018-20250, CVE-2018-20251, CVE-2018-20252,CVE-2018-20253
该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的，该动态链接库在 2006 年被编译，没有任何的基础保护机制(ASLR, DEP 等)。该动态链接库的作用是处理 ACE 格式文件。在对解压目标的相对路径进行解析时，CleanPath函数过滤不严导致目录穿越漏洞,允许解压过程写入文件至开机启动项，导致代码执行。

3、漏洞利用条件：

不能跨盘符，即受害者进行解压文件触发漏洞时，必须在系统盘，且在不知道计算机主机名的情况下，只能在主浏览器的默认下载路径下或者桌面进行解压。

WinAce：一款来自德国的绝对强悍的压缩和解压缩程序，功能及支持格式相当齐全，功能方面包括压缩与解压缩之外、还有分片压缩、加密功能、支持鼠标右键快显功能，建立自动解压缩等，支持的格式更丰富包括程序本身的ACE及ZIP、RAR、LZH、ARJ、TAR、CAB、LHA、GZIP等，几乎常用的程序都支持，另 WinACE可预设压缩及解压缩路径、编辑程序、扫毒程序等。

4、实验环境

攻击机：KALI Linux

目标机：Windows10_64（安装Winrar、WinAce、HxD或者其他二进制编辑器）

戳下方链接马上在线体验
实验:WinRAR代码执行漏洞分析和利用

5、说明

本文由合天网安实验室原创，转载请注明来源

关于合天网安实验室

合天网安实验室（www.hetianlab.com）-国内领先的实操型网络安全在线教育平台 真实环境，在线实操学网络安全 ； 实验内容涵盖：系统安全，软件安全，网络安全，Web安全，移动安全，CTF，取证分析，渗透测试，网安意识教育等。