实战!打造WinRAR代码执行漏洞的种植EXP

  • A+
所属分类:安全闲碎

介绍

实战!打造WinRAR代码执行漏洞的种植EXP

近日Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。

该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码执行。


在实战中,往往rar会预装,因此,我们还可以通过该漏洞,绕过UAC。

只有积累的漏洞多了,才能形成高额的杀伤链。

漏洞出现,我们要学习漏洞的本质,而不是只依赖于某某大牛放出的poc,只有掌握了漏洞的本质,我们才能在实战中游刃有余的应用。

--作者 catsay、无心

仅供技术交流,切勿非法

2019/2/22 始发于圈子社区

传送门:https://www.secquan.org/BugWarning/1068909

靶场课程:http://192.168.5.99/courses/613



影响范围(简单测试)


实战!打造WinRAR代码执行漏洞的种植EXP





漏洞复现


开始盘它!


首先我们需要下载一个WinAce

实战!打造WinRAR代码执行漏洞的种植EXP

在此处注意勾选 store full path


实战!打造WinRAR代码执行漏洞的种植EXP


我们使用010Edit进行修改

实战!打造WinRAR代码执行漏洞的种植EXP

首先需要注意以下几个位置:

实战!打造WinRAR代码执行漏洞的种植EXP

hdr_crc
hdr_size
filename的长度
filename

我们开始修改

我们要把他放置在启动项


实战!打造WinRAR代码执行漏洞的种植EXP


长度为83(十进制)->0x53

实战!打造WinRAR代码执行漏洞的种植EXP


然后修改 hdr_size

实战!打造WinRAR代码执行漏洞的种植EXP


选中了114(十进制)->0x72

实战!打造WinRAR代码执行漏洞的种植EXP

然后这个时候我们使用acefile.py进行解析ace文件

实战!打造WinRAR代码执行漏洞的种植EXP


发生错误,因为我们的 hdr_crc还没有修改

根据报错
[+]right_hdr_crc:0xcea1|structb'xa1xce'

我们可以看出CRC值为 0xcea1

所以我们进行修改


实战!打造WinRAR代码执行漏洞的种植EXP


再次解析发现成功,


实战!打造WinRAR代码执行漏洞的种植EXP




演示(做成的动态太大,请移步社区查看)

或直接复制访问:

http://secquan.zzyuncheng.com/893606f62de5047b209ae283e0350f36.gif-source




号外号外

漏洞环境已上传人人大佬计划靶机平台~

实战!打造WinRAR代码执行漏洞的种植EXP




实战!打造WinRAR代码执行漏洞的种植EXP




关于圈子社区
圈子社区是一个非盈利,封闭的白帽子技术交流社区。目前成员已有近2000人,拥有业内首个自主研发的实战化靶场,体系化学习和燃爆的交流气氛带你成为真正的大佬,社区专注实战,崇尚技术,如果你也是实战派,请关注我们。
社区地址:(请使用https访问)
https://www.secquan.org

实战!打造WinRAR代码执行漏洞的种植EXP


本文始发于微信公众号(Secquan圈子社区):实战!打造WinRAR代码执行漏洞的种植EXP

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: