您好、欢迎来到现金彩票网!
当前位置:在线斗牛棋牌游戏 > 伪代码 >

WinRAR目录穿越漏洞浅析及复现(CVE-2018-20250)

发布时间:2019-06-27 02:47 来源:未知 编辑:admin

  我是于2月21号看见各大安全网站都发布了”WINRAR曝出严重漏洞,影响全球5亿用户”的文章,才了解到这个漏洞。等到真正去研究它,是backlion师傅已经将exp发出来之后了。这是本菜研究及复现的第一个漏洞,其中若有分析不到位或者错误的地方烦请各位师傅指正,谢谢。

  该漏洞由Check Point团队爆出,是一个关于WinRAR存在了19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。

  其实不只是WinRAR,凡是使用了UNACE2.dll动态链接库的解压软件就会受影响,具体可参考0×03中受该漏洞影响的解压软件及版本号。

  该漏洞是由 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在 2006 年被编译,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码执行。

  通过该漏洞攻击者可以向用户的开机启动项中植入恶意程序,实现监控受害者主机的目的。

  在执行GetDevicePathLen这个函数之前,CleanPath会清除path中的一些简单的目录遍历序列,比如:

  1.如果Path的第2、3个字符为”:”、”\”,那么将Path第4个字符之前的部分清除。

  2.如果Path的第2个字符为”:”,第3个字符不为”\”,那么将Path第3个字符之前的部分清除。

  3.在Path中寻找”..\”出现的位置,PathTraversalPos将指向此位置。若找到,执行4;否则执行7。

  5.将Path第4个字符之前的部分清除,继续在Path中寻找”..\”出现的位置,若找到,执行4;否则,执行7。

  6.在Path+1处向后寻找”..\”出现的位置,若找到,执行4;否则,执行7。

  通过上述分析我们可以看出盘符名:\是在步骤1被清除掉的,盘符名:是在步骤2被清除掉的;盘符名:\盘符名:是通过步骤1和步骤2两个步骤清除掉的;而\..\是在步骤5被清除掉的。

  3.如果在Path第3个字符之后没有找到”\”,返回0;否则将SlashPos指向此位置。

  4.如果在SlashPos+1之后没有找到”\”,返回0;否则将SlashPos指向此位置。

  漏洞主要是由Winrar用来解压ACE文件时使用的动态链接库UNACEV2.dll引起的,UNACEV2.dll在处理filename时只校验了CRC。故我们可以通过使用HxD修改filename(也就0×06中的最强攻击向量,我们无法直接去修改filename,所以要用HxD去修改ACE二进制文件)将恶意文件解压到启动目录,但是在修改完成后,CRC校验会失败,所以我们还要再去修改CRC,具体过程请见下面的分析。

  使用HxD工具来查看一下example.ace这个文件,可以看到下图中蓝色选中部分的路径是我们上图中绿色框中的路径:

  filename _ size:文件名的大小(acefile.py没有把这个列出来,可以见下图中我的标示)

  将蓝色选中部分前面2字节的27 00改为40 00,因为是小端序,所以是从后向前。

  将蓝色选中部分前面2字节的71 00改为5F 00。(这一步的截图,由于我中间操作失误,所以与上面的图片不是一个文件,但修改的位置是正确的,hdr_crc后面接着的就2字节的hdr _size,所以比较好找。)

  而下面部分是现在的hdr_crc:cda9。在HxD中修改掉它(注意是小端序):

  我在桌面放了一个文件example(最强攻击向量).ace的文件,其实后缀改成rar也是可以的,winrar在解压的时候检验的是格式而非后缀。(说明:我这个文件中的filename是Check Point团队给出的最强攻击向量,而非0×07中我修改的filename,请大家在测试的时候注意一下,我会在最后把需要用到文件都放出来)

  对好压的测试就不放图了,测试结果是同样存在这个漏洞。360zip在测试的时候,它会提示格式损坏,但是在它的安装目录中确实存在UNACEV2.dll,如果有师傅测试成功,可以指导一下,谢谢。

  用到的文件百度网盘链接: 提取码: eus4 (有无后门及木马请各位自查)

http://missartypants.com/weidaima/214.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有