7-Zip 权限升级和命令执行-CVE-2022-29072

7-Zip，是一个免费且免费的文件存档器。7-Zip 的命令提示版本专为类 Unix 系统设计，甚至包括 AmigaOS。也兼容 DOS 友好端口或带有 HX-DOS 扩展程序可执行文件的 Windows 命令提示。

首先，我想谈谈我发现漏洞的故事。我在WinRAR上看到了一个实现XXE漏洞的payload。同时，它允许使用HTML Helper文件在javascript上运行命令，这要归功于ActiveXObject和WScript.Shell。这和lolbins中使用的HTA没什么区别，我想我怎么能把事件对我有利。

（https://www.exploit-db.com/exploits/47526）

实际上，我的目标是双击7z，zip，rar等压缩技术的扩展名后在目标计算机上获得reverse-shell。我正在考虑是否可以使用其中的HTML Helper文件。经过长时间的模糊测试WinAFL，我发现FzGM.exe上存在堆溢出，但是堆溢出后没有任何意义，因为我的权限仍然来自同一个用户。所以我没有使用CreateRemoteThread，因为我需要调用API，我需要一个 chm 文件来触发这个 API。当我检查源代码时，我注意到有一些不正确的操作，特别是在两个地方调用 Windows API 时，这会造成直接授权问题。这个发现点创建了一个FzGM.exe下的子进程如下图所示。正常情况下，这个进程hh。

如果没有包含API并且通过函数进行了正确的配置，我希望它会在hh.exe下创建一个子进程，但是7-zip.chm文件通过它自己调用它。你可以看到一个典型的例子如果您编辑 7-zip.chm 文件并在那时执行命令。一堆溢出调用API的授权问题后，利用了我处理了很久的7z.dll文件中的错误配置。做CreateRemoteThread()没有意义。

我需要运行什么并在我的有效负载中调用的是 HTML Helper API 不是它本身，而是通过 7-zip 挂钩此 API 的点，我可以执行该点，但此有效负载仅适用于 hh.exe 集成功能。7 调用附件。chm带有 HELP 按钮 over 7-zip 的文件和这里调用的地址 我的“基础指针”重定向，在有效负载中存在授权问题，将我们带到下一个用户。下一步是在有效负载中找到 psexec 并将其提升到系统权限为nt权限/系统用命令psexec -s cmd.exe。

POC视频：

项目地址：

https://github.com/kagancapar/CVE-2022-29072

参考：

https://github.com/kagancapar/CVE-2022-29072/blob/main/7z_CVE-2022-29072.yml

原文始发于微信公众号（Ots安全）：7-Zip 权限升级和命令执行-CVE-2022-29072