Winrar目錄穿越漏洞預警
WinRAR 是一款功能強大的壓縮包管理器,它是檔案工具RAR在Windows環境下的圖形界面。該軟體可用於備份數據,縮減電子郵件附件的大小,解壓縮從 Internet 上下載的RAR、ZIP及其它類型文件,並且可以新建 RAR 及 ZIP 格式等的壓縮類文件。
2019年 2 月 20 日國外安全研究員Nadav Grossman發布了Winrar一個嚴重的Path Traversal漏洞,當用戶解壓壓縮包時可以導致命令執行,目前官方已經推出beta版修復該漏洞。
2. 影響範圍其中受影響版本為:
Winrar <= 5.61
3. 漏洞危害通過這個漏洞黑客可以將惡意程序放入用戶啟動項,當目標電腦重新啟動時獲取目標主機的許可權。
在擁有system許可權下可以放入
c:/windows/system32/wbem/mof/evt.mof,直接在獲取目標主機的許可權。
可以投放惡意dll文件進行dll劫持獲取到目標主機的許可權,或者覆蓋用戶主機上的文件等方式獲取目標主機的許可權。
4. 漏洞細節https://research.checkpoint.com/extracting-code-execution-from-winrar/
漏洞主要是由Winrar用來解壓ACE壓縮包採用的動態鏈接庫unacev2.dll這個dll引起的。unacev2.dll中處理filename時只校驗了CRC,黑客可以通過更改壓縮包的CRC校驗碼來修改解壓時候的filename來觸發這個Path Traversal漏洞。但是Winrar本身檢測了filename,有一些限制並且普通用戶解壓RAR文件時候不能將我們惡意的Payload解壓到需要System許可權的文件夾。所以當用戶將文件下載到默認的C:UsersAdministratorDownloads目錄下時,我們通過構造
C:C:C:../AppDataRoamingMicrosoftWindowsStartMenuProgramsStartup est.exe
經過Winrar的CleanPath函數處理會變成
C:../AppDataRoamingMicrosoftWindowsStartMenuProgramsStartup est.exe
其中C:會被轉換成當前路徑,如果用Winrar打開那麼當前路徑就是C:Program FilesWinRAR,要是在文件夾中右鍵解壓到xxx那麼當前路徑就是壓縮包所在的路徑。
當用戶在文件夾中直接右鍵解壓到xx那麼我們惡意的payload解壓地址就會變成
C:UsersAdministratorDownloads../AppDataRoamingMicrosoftWindowsStartMenuProgramsStartup est.exe
就是當前用戶的啟動項。這樣一個利用完成了從一個Path Traversal到任意命令執行的過程。
5. 修復建議1. 將Winrar升級成5.70Beta 1;
2. 使用其他不採用unacev2.dll這個動態鏈接庫來處理ace壓縮包的壓縮軟體。
6. 產品策略建議網路流量檢測類設備策略建議:
1通過的流量包中匹配Hex 000000902A2A4143452A2A,這個Hex是Ace壓縮包的標誌,然後匹配C:C:C:..字元串可以檢測到惡意的Ace壓縮包。
7. POC使用Winace生成正常文件
通過Winhex等工具修改filename
之後通過acefile.py獲得修改後的crc
? /tmp/acefilegit:(master) ? >pythonacefile.py --headers dbapp.ace
0x1e74
0x1e74
0x69d4
0xab0c
將D469修改成0CAB即可
將dbapp.ace修改成dbapp.rar通過讓目標下載後右鍵直接解壓壓縮包成功將dbapp.exe放在啟動項,內容就是Hackedby dbapp
利用過程見poc.gif
Poc見poc.rar
將Poc放在C:Users{username}Downloads下右鍵直接解壓壓縮包
然後在
C:Users{username}AppDataRoamingMicrosoftWindowsStartMenuProgramsStartup下可以見到dbapp.exe
本文轉自 安恆應急響應中心
推薦閱讀:
德國也不陪美國了?德國反對美國稱華為存在安全風險的說法
中了GandCrab勒索病毒?別怕!這裡有免費解密工具
韓國SK電訊將推出自動駕駛汽車安全量子網關解決方案
對華為態度轉變?紐西蘭將自行對華為進行風險評估
270萬醫療通話記錄曝光,數據泄露居然長達六年!
谷歌地球在線平台更新出意外,泄露台灣軍事基地
▼點擊「閱讀原文」 查看更多精彩內容
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※馬爾他銀行遭遇網路攻擊,黑客將資金轉移到國外
※韓國SK電訊將推出自動駕駛汽車安全量子網關解決方案
TAG:E安全 |