CVE-2018-20250 recurrence

  1. 前言
  2. 正文
  3. 利用手法
  4. 防御方式

前言


已上学一个星期,上学空余期间发现爆出一个新的CVE:(CVE-2018-20250),WinRaR绝对路径穿越漏洞,回到家后立马就开始折腾复现。感觉这洞还是很有趣的
2BnJ-hrkkweh6763708.jpg

正文

漏洞介绍:

近日Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。

该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码执行。

在实战中,往往rar会预装,因此,我们还可以通过该漏洞,绕过UAC。

复现时参考的文章:
实战!打造WinRAR代码执行漏洞的种植EXP

【漏洞预警】WinRAR代码执行漏洞复现

需要准备的工具:

010 Editor 下载地址:http://www.sweetscape.com/download/010editor/download_010editor_win64.html
WinAce Archiver

随便用WinAce Archiver打包个东西
kfJX6O.png

注意打包的时候要选择:store full path
kfJjXD.png

打包成ace后将其拉入010 Editor
kfYS7d.png

下载:GitHub - droe/acefile: read/test/extract ACE 1.0 and 2.0 archives in pure python
用于查看文件头部信息
kfYLUs.png

然后先说明几个地方
filename
kfYO5n.png

文件路径的长度
kfYjCq.png

kfYx2V.png

hdr_size
kftCb4.png

hdr_crc
kftFa9.png

复现开始
先修改filename
kftZ26.png

修改文件路径的长度
kftnKO.png

修改hdr_size
kft8PI.png

修改hdr_cc,先在acefile.py添加一句话
kftUsS.png
然后运行,acefile.py
kfNMlV.png

kfNGTJ.png

再见解析发现已经成功而且filename已被修改:
kfNdl6.png

解压到当前文件夹你会发现F盘多了个demo1.txt
kfNW1P.md.png

利用手法

1.打包恶意exe将路径改为开机自启
2.cmd劫持
3.配置邮件社工等等
利用工具:https://github.com/WyAtu/CVE-2018-20250

防御方式

  1. 升级到最新版本,WinRAR 目前版本是 5.70 Beta 1
  2. 删除UNACEV2.dll文件

转载请声明:转自422926799.github.io


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:CVE-2018-20250 recurrence

本文作者:九世

发布时间:2019-02-22, 18:39:25

最后更新:2019-04-19, 20:36:16

原始链接:http://422926799.github.io/posts/96130294.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录