介绍
近日Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。
该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码执行。
在实战中,往往rar会预装,因此,我们还可以通过该漏洞,绕过UAC。
只有积累的漏洞多了,才能形成高额的杀伤链。
漏洞出现,我们要学习漏洞的本质,而不是只依赖于某某大牛放出的poc,只有掌握了漏洞的本质,我们才能在实战中游刃有余的应用。
--作者 catsay、无心
仅供技术交流,切勿非法
2019/2/22 始发于圈子社区
传送门:https://www.secquan.org/BugWarning/1068909
靶场课程:http://192.168.5.99/courses/613
影响范围(简单测试):
漏洞复现
开始盘它!
首先我们需要下载一个WinAce
在此处注意勾选 store full path
我们使用010Edit进行修改
首先需要注意以下几个位置:
hdr_crchdr_sizefilename的长度filename
我们开始修改
我们要把他放置在启动项
长度为83(十进制)->0x53
然后修改 hdr_size
选中了114(十进制)->0x72
然后这个时候我们使用acefile.py进行解析ace文件
发生错误,因为我们的 hdr_crc还没有修改
根据报错[+]right_hdr_crc:0xcea1|structb'xa1xce'
我们可以看出CRC值为 0xcea1
所以我们进行修改
再次解析发现成功,
演示(做成的动态太大,请移步社区查看)
或直接复制访问:
http://secquan.zzyuncheng.com/893606f62de5047b209ae283e0350f36.gif-source
号外号外
漏洞环境已上传人人大佬计划靶机平台~
关于圈子社区:
圈子社区是一个非盈利,封闭的白帽子技术交流社区。目前成员已有近2000人,拥有业内首个自主研发的实战化靶场,体系化学习和燃爆的交流气氛带你成为真正的大佬,社区专注实战,崇尚技术,如果你也是实战派,请关注我们。
社区地址:(请使用https访问)
https://www.secquan.org
本文始发于微信公众号(Secquan圈子社区):实战!打造WinRAR代码执行漏洞的种植EXP
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论