CVE-2018-20250漏洞复现
该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在 2006 年被编译,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码执行。
这是我在实验室学习渗透测试所做的第二十个漏洞复现,过程很简单。
本文首发于我的个人博客。
影响版本
- WinRar < 5.70 Beta 1
- Bandzip <= 6.2.0.0
- 好压(2345压缩)< 5.9.8.10907
- 360压缩 < 4.0.0.1170
复现过程
1. 下载POC并执行
下载完成后,使用python3.7或以上版本执行exp.py:python exp.py,会自动生成需要的test.rar压缩包。
2. 在靶机解压文件
注意exp.py中target_filename的值(target_filename = r"C:\C:C:../AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hi.exe"),可以注意到文件需要放在C://Users/当前用户/任意一个文件夹下。在这里我直接放在了桌面。然后解压文件,查看启动,可以看到多了一个hi.exe(即poc默认的木马文件,它会在开机时自动打开计算器程序)。
重启靶机,在开机时就可以看到计算器自动被执行。我用的是Windows7 64位旗舰版,在开机的时候未看到计算器成功被打开,手动尝试打开时提示我该程序与当前的系统不兼容。因此我复制了当前操作系统下的calc.exe到poc下进行了替换并重新复现,成功了。