99真人真人赌场
设为首页|加入收藏

当前位置:99真人真人赌场>数据图表>文章

买球(网万博)·Winrar目录穿越漏洞预警
2019-12-27 16:47:50 稿件来源:99真人真人赌场

买球(网万博)·Winrar目录穿越漏洞预警

买球(网万博),winrar 是一款功能强大的压缩包管理器,它是档案工具rar在windows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 internet 上下载的rar、zip及其它类型文件,并且可以新建 rar 及 zip 格式等的压缩类文件。

2019年 2 月 20 日国外安全研究员nadav grossman发布了winrar一个严重的path traversal漏洞,当用户解压压缩包时可以导致命令执行,目前官方已经推出beta版修复该漏洞。

其中受影响版本为:

winrar <= 5.61

通过这个漏洞黑客可以将恶意程序放入用户启动项,当目标电脑重新启动时获取目标主机的权限。

在拥有system权限下可以放入

c:/windows/system32/wbem/mof/evt.mof,直接在获取目标主机的权限。

可以投放恶意dll文件进行dll劫持获取到目标主机的权限,或者覆盖用户主机上的文件等方式获取目标主机的权限。

https://research.checkpoint.com/extracting-code-execution-from-winrar/

漏洞主要是由winrar用来解压ace压缩包采用的动态链接库unacev2.dll这个dll引起的。unacev2.dll中处理filename时只校验了crc,黑客可以通过更改压缩包的crc校验码来修改解压时候的filename来触发这个path traversal漏洞。但是winrar本身检测了filename,有一些限制并且普通用户解压rar文件时候不能将我们恶意的payload解压到需要system权限的文件夹。所以当用户将文件下载到默认的c:\users\administrator\downloads目录下时,我们通过构造

c:\c:c:../appdata\roaming\microsoft\windows\startmenu\programs\startup\test.exe

经过winrar的cleanpath函数处理会变成

c:../appdata\roaming\microsoft\windows\startmenu\programs\startup\test.exe

其中c:会被转换成当前路径,如果用winrar打开那么当前路径就是c:\program files\winrar,要是在文件夹中右键解压到xxx\那么当前路径就是压缩包所在的路径。

当用户在文件夹中直接右键解压到xx那么我们恶意的payload解压地址就会变成

c:\users\administrator\downloads../appdata\roaming\microsoft\windows\startmenu\programs\startup\test.exe

就是当前用户的启动项。这样一个利用完成了从一个path traversal到任意命令执行的过程。

1. 将winrar升级成5.70beta 1;

2. 使用其他不采用unacev2.dll这个动态链接库来处理ace压缩包的压缩软件。

网络流量检测类设备策略建议:

1通过的流量包中匹配hex 000000902a2a4143452a2a,这个hex是ace压缩包的标志,然后匹配c:\c:c:..字符串可以检测到恶意的ace压缩包。

使用winace生成正常文件

通过winhex等工具修改filename

之后通过acefile.py获得修改后的crc

➜ /tmp/acefilegit:(master) ✗ >pythonacefile.py --headers dbapp.ace

0x1e74

0x1e74

0x69d4

0xab0c

将d469修改成0cab即可

将dbapp.ace修改成dbapp.rar通过让目标下载后右键直接解压压缩包成功将dbapp.exe放在启动项,内容就是hackedby dbapp

利用过程见poc.gif

poc见poc.rar

将poc放在c:\users\{username}\downloads\下右键直接解压压缩包

然后在

c:\users\{username}\appdata\roaming\microsoft\windows\startmenu\programs\startup下可以见到dbapp.exe

本文转自 安恒应急响应中心

推荐阅读:

德国也不陪美国了?德国反对美国称华为存在安全风险的说法

中了gandcrab勒索病毒?别怕!这里有免费解密工具

韩国sk电讯将推出自动驾驶汽车安全量子网关解决方案

对华为态度转变?新西兰将自行对华为进行风险评估

270万医疗通话记录曝光,数据泄露居然长达六年!

谷歌地球在线平台更新出意外,泄露台湾军事基地

▼点击“阅读原文” 查看更多精彩内容

上一篇:共享单车变黑车了?
下一篇:英国工党领袖:将挑战特蕾莎-梅的一切脱欧协议

24小时排行 最新文章

热点推荐 随机推荐