CVE-2018-20250 复现操作及解决方案

正文

漏洞介绍：

近日Check Point团队爆出了一个关于WinRAR存在19年的漏洞，用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件，当受害者使用WinRAR解压该恶意文件时便会触发漏洞。

该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的，没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时，由于没有对文件名进行充分过滤，导致其可实现目录穿越，将恶意文件写入任意目录,甚至可以写入文件至开机启动项，导致代码执行。

在实战中，往往rar会预装，因此，我们还可以通过该漏洞，绕过UAC。

复现时参考的文章：
实战!打造WinRAR代码执行漏洞的种植EXP

【漏洞预警】WinRAR代码执行漏洞复现

需要准备的工具：

010 Editor 下载地址：http://www.sweetscape.com/download/010editor/download_010editor_win64.html
WinAce Archiver

• 1
• 2

随便用WinAce Archiver打包个东西

注意打包的时候要选择：store full path

打包成ace后将其拉入010 Editor

下载：GitHub - droe/acefile: read/test/extract ACE 1.0 and 2.0 archives in pure python
用于查看文件头部信息

然后先说明几个地方
filename

文件路径的长度

hdr_size

hdr_crc

复现开始
先修改filename

修改文件路径的长度

修改hdr_size

修改hdr_cc，先在acefile.py添加一句话

然后运行，acefile.py

再见解析发现已经成功而且filename已被修改：

解压到当前文件夹你会发现F盘多了个demo1.txt

利用手法

1.打包恶意exe将路径改为开机自启
2.cmd劫持
3.配置邮件社工等等
利用工具：https://github.com/WyAtu/CVE-2018-20250

• 1
• 2
• 3
• 4

防御方式

1. 升级到最新版本，WinRAR 目前版本是 5.70 Beta 1
2. 删除UNACEV2.dll文件