2024年3月7日00:50:44评论15 views字数 3105阅读10分21秒阅读模式


一

背景

WinRAR是最受欢迎的压缩工具之一，在全球拥用超过5亿用户。2023 年 7 月 10 日，国外威胁情报机构Group-IB研究DarkMe恶意软件传播时，在 WinRAR 处理 ZIP 文件格式中发现了一个以前未知的漏洞。通过利用该程序中的漏洞，威胁行为者能够制作 ZIP 存档，作为各种恶意软件系列的载体。2023 年 8 月 15 日，MITRE Corporation 将此零日漏洞标记为 CVE-2023-38831。


二

漏洞详情

漏洞受影响范围：5亿WinRAR用户；

漏洞受影响版本：WinRar < v6.23所有版本。


三

漏洞复现

WinRar在小于6.23版本中点击压缩包中的文件预览时错误得将被点击的文件名和同名文件夹下的所有文件释放到临时目录中，随后调用Shellexecute执行文件造成代码执行。

正常情况下windows文件系统不允许同一路径下存在同名的文件或文件夹，但是可以通过一些途径绕过此限制。

1.创建一个test.txt1文件和一个test.txt2文件夹，在test.txt2文件夹中创建一个test.txt3.cmd，写入打开计算机，然后打包成zip文件。

2.使用16进制编辑器，如010Editor，对压缩文件中的文件名进行更改。

这里代表有3个文件，我们把txt后面的数字123都改成空格，空格x`对应的acsll码是0x20。

再去看压缩包发现文件夹和文件已经是同名的。

此时去双击test.txt 文件，会发现.cmd文件被执行了，弹出了计算机，且临时目录下提取了两个文件。

至此，Winrar代码执行漏洞复现完毕，下面我们了解下，这个过程发生了什么，为什么要该掉一个字符为空格（0x20)？为什么点击了一个文件却解压出来了两个文件？为什么test.txt .cmd被执行了？

Winrar的执行流程

Winrar是一个GUI程序，在用户双击一个文件预览时会发送一个WM_LBUTTONDOWN消息，然后主程序根据此消息获得点击的文件名，也就是click_name,随即主程序会遍历压缩包中所有的deFileName（文件夹也在此列)，当deFileName==click_name那么该文件就会被释放出来并写入临时目录中，也就是说同名文件夹下的所有文件都会被释放出来。最终Winrar会初始化ShellExecuteInfo结构体，将click_name释放后的路径设置到lpFileName中，并调用Windows系统APi ShellExecute函数执行该文件。

我们通过调试逆向的方式看到整个流程确实是这样的，而且在调用Shellexecute函数时可以看到文件名也确实是test.txt 。为什么最终是test.txt .cmd被执行了。带着这个问题继续往下看，我们知道一个程序被运行是要被加载到进程空间的，因此Shellexecute函数最终也会调用CreateProcess等函数来创建进程，于是在进程创建函数上下断点进行调试运行。

此时断点命中CreateProcessW，但这里发现一个问题，WinRAR在调用ShellexecuteW时lpFileName参数明明是"test.txt ",后面调用CreateProcesssW创建进程时却变成了”test.txt .cmd“。很明显ShellexecuteW做了一些我们不知道的操作，更改了参数。那shellexecute做了什么就变成了了解问题的关键。

ShellExecute函数

Shellexecute在处理一个文件时会通过文件路径获取文件的扩展名(PathFindExtension)，然后通过注册表和**AssocQueryString**等文件关联函数获取绑定了扩展名的关联程序(例：.xml文件的关联程序：MS Edge微软浏览器)的绝对路径，最后将创建进程所需的ModuleFileName参数设置为获取到的绝对路径，CommandLine参数设置为文件的绝对路径，并调用CreateProcessW启动进程。

如果没找到扩展名，则会对当前目录下的所有同名文件进行遍历，如果存在同名文件且是可执行文件(com、cmd、bat、exe等)则使用该可执行文件作为进程的模块地址。若找不到同名文件，或没有找到扩展名的关联程序，那么会弹出窗口让用户自己选择要使用的处理程序。

以正常的test.txt文件为例

该文件为正常的.txt文本文件，后面无空格。此时再到CreateProcessW断点处，可以看到ModuleFIleName(lpApplicationName)参数被设置为notepad++的地址，CommandLine参数被设置为test.txt文件地址，这些参数都是Shellexecute进行设置的。