漏洞描述:
近日Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。
该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll
漏洞影响:
影响软件:
WinRAR < 5.70 Beta 1
Bandizip < = 6.2.0.0
好压(2345压缩) < = 5.9.8.10907
360压缩 < = 4.0.0.1170
等等…
漏洞复现:
该漏洞的实现过程:首先新建一个任意文件,然后利用WinACE进行压缩,修改filename来实现目录穿越漏洞,可以将文件解压到任意目录中。
主要所需工具WinACE
、010Editor。
下载WinACE并安装,安装完成后新建一个文本文件,名字任意。
然后利用WinACE进行压缩。
设置为store full path
3通过脚本检查rar的header信息,其脚本下载地址为:
https://raw.githubusercontent.com/backlion/acefile/master/acefile.py
使用命令python acefile.py --headers test.ace
来读取该文件头信息
要注意这三块
hdr_crc
hdr_size
filename的长度
filename
使用010 Editor打开ace文件进行修改(这里要注意修改顺序是从后往前的)
如果要修改filename,则需要修改上面标注这几处。第一处为0xd9e2(hdr_crc),第二处为0x0027(hdr_size),第三处为0x0008(filename的长度),以及最后一处为filename
这里修改filename为d:\d:\test.txt
长度为14,对应的hex为0x000e
然后修改hdr_size,长度为45,对应的hex为0x002d
接下来就是修改hdr_crc了,这里有一个取巧的方法。
我们再次运行命令python acefile.py --headers test.ace
程序中断并提示CorruptedArchiveError: header CRC failed
定位到错误的位置
然后去修改hdr_crc 为0xb2f3
再次查看,可以正常解析,并看到filename已经修改成功
右键解压该文件,则会在D盘生成一个test.txt文件。
解压后会在D盘生成一个test.txt文件
修复建议
-
升级到最新版本,WinRAR 目前版本是 5.70 Beta 1
-
删除UNACEV2.dll文件,解压则会报错
参考:
原创文章,作者:Y4er,未经授权禁止转载!如若转载,请联系作者:Y4er