漏洞预警丨Winrar目录穿越漏洞

释放双眼,带上耳机,听听看~!

phpStudy隐藏后门公告

1、事件背景 近日,使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门,安恒应急响应中心和研究院随即对国内下载站点提供下载的phpStudy安装包进行分析,确认phpStudy2016、phpStudy2018的部分版本

WinRAR 是一款功能强大的压缩包管理器,它是档案工具RAR在Windows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。

1漏洞描述

2019年 2 月 20 日国外安全研究员Nadav Grossman发布了Winrar一个严重的Path Traversal漏洞,当用户解压压缩包时可以导致命令执行,目前官方已经推出beta版修复该漏洞。

影响版本:Winrar <= 5.61的版本均受影响

2漏洞危害

1. 通过这个漏洞黑客可以将恶意程序放入用户启动项,当目标电脑重新启动时获取目标主机的权限。

2. 在拥有system权限下可以放入

c:/windows/system32/wbem/mof/nullevt.mof,直接在获取目标主机的权限。

3. 可以投放恶意dll文件进行dll劫持获取到目标主机的权限,或者覆盖用户主机上的文件等方式获取目标主机的权限。

3漏洞细节

https://research.checkpoint.com/extracting-code-execution-from-winrar/

漏洞主要是由Winrar用来解压ACE压缩包采用的动态链接库unacev2.dll这个dll引起的。unacev2.dll中处理filename时只校验了CRC,黑客可以通过更改压缩包的CRC校验码来修改解压时候的filename来触发这个Path Traversal漏洞。但是Winrar本身检测了filename,有一些限制并且普通用户解压RAR文件时候不能将我们恶意的Payload解压到需要System权限的文件夹。

当用户将文件下载到默认的C:\Users\Administrator\Downloads目录下时,我们通过构造

C:\C:C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe 

经过Winrar的CleanPath函数处理会变成

C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe

其中C:会被转换成当前路径,如果用Winrar打开那么当前路径就是C:\Program Files\WinRAR,要是在文件夹中右键解压到xxx\那么当前路径就是压缩包所在的路径。

当用户在文件夹中直接右键解压到xx那么我们恶意的payload解压地址就会变成

C:\Users\Administrator\Downloads../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe

就是当前用户的启动项。这样一个利用完成了从一个Path Traversal到任意命令执行的过程。

4修复建议

1. 将Winrar升级成5.70Beta 1;

2. 使用其他非unacev2.dll动态链接库来处理ace压缩包的压缩软件。

5修复建议

网络流量检测类设备策略建议:

通过的流量包中匹配Hex 000000902A2A4143452A2A,这个Hex是Ace压缩包的标志,然后匹配C:\C:C:..字符串可以检测到恶意的Ace压缩包。

6POC

使用Winace生成正常文件

 

                          

通过Winhex等工具修改filename

Hackingday|议题征集(杭州站)

雷神众测平台内测以来 受到了广大白帽的欢迎 公众号步入正轨后 关注量也是蹭蹭蹭往上飙升 活跃度也是越来越高 在此 我们将举行今年的第一场活动沙龙 Hackingday(杭州站) 我们来了! 我们向广大白帽发出议题征集 欢迎你来发表你在安全圈的研究想法 欢迎你来

之后通过acefile.py获得修改后的crc

➜ /tmp/acefilegit:(master) ✗ >pythonacefile.py –headers dbapp.ace 

0x1e74

0x1e74

0x69d4

0xab0c

将D469修改成0CAB即可

将dbapp.ace修改成dbapp.rar通过让目标下载后右键直接解压压缩包成功将dbapp.exe放在启动项,内容就是Hackedby dbapp

利用过程见poc.gif

 

Poc见poc.rar

将Poc放在C:\Users\{username}\Downloads\下右键直接解压压缩包

 

然后在

C:\Users\{username}\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup下可以见到dbapp.exe





专注渗透测试技术

全球最新网络攻击技术

  END 


____

______

________




本文源自微信公众号:雷神众测

安恒Red Team公开部分内部红蓝对抗框架(文末含上期中奖名单)

我的秘密 不知你想不想听 想听的话… … 请打开上方音乐 邓紫棋的《我的秘密》 放给你听 如果你想看关于Red Team的秘密 请继续往下翻哦 Red Team首次公开部分红蓝对抗框架 公开内容共分14个模块 准备钓鱼攻击 发送钓鱼邮件 发送payload 运行payload命令 维

人已赞赏
安全工具

Pulse Secure SSL VPN 漏洞预警

2019-10-14 14:33:23

安全工具

phpStudy隐藏后门预警

2019-10-14 14:33:31

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索