Jump to content
Sign in to follow this  
mr.save

Уязвимость WinRAR

Recommended Posts

Как создать архив эксплуатируя уязвимость Path Traversal архиватора WinRAR до версии 5.61 включительно.

Данная уязвимость получила идентификаторы CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253. 

Кому интересны детали, могут почитать эту статью: research.checkpoint.com

Уязвимость позволяет принудительно поместить файл по указанному пути. Для успешной атаки злоумышленнику потребуется просто убедить жертву распаковать вредоносный архив с помощью WinRAR.

Для работы нам понадобится python3. Качаем архив (прикреплён к статье), распаковываем.

Далее нас интересует winrar_exp.py

jwggth2VPKg.jpg.882f43b0ad435f257684a5bfb96defa5.jpg

Мы можем изменять значения rar_filename, evil_filename, target_filename, filename_list

rar_filename - имя результатирующего rar архива

evil_filename - имя файла (полезная нагрузка), который мы будем помещать в нужную нам папку благодаря уязвимости

target_filename - путь, куда будет помещён наш evil_file (полезная нагрузка)

filename_list - список файлов, которые будут помещены в архив обычным способом

Замечание: target_filename в примере есть относительным путём до папки автозагрузки. Есть две папку автозагрузки, одна глобальная для всех пользователей и автозагрузка для конкретного пользователя. Если мы будем пытаться записать файл в глобальную, UAC начнёт спрашивать разрешения на это действие, поэтому нам нужна папка для текущего пользователя. Так как скорее всего мы не знаем имя пользователя, можно надеяться что жертва распакует архив на рабочий стол, или в папку загрузки. Указанный выше путь справедлив относительно них. Если же вы знаете имя пользователя, можно использовать абсолютный путь:

C:\C:C:\Users\<user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

После того, как вы отредактировали скрипт под себя, запускаем его

python3 winrar_exp.py

Скриншоты, демонстрирующие работу:

Работа скрипта:

nKGDTXSUHu0.jpg.566bc7b82fc00d96a432381b841304e3.jpg

Сам архив:

aLkJphkqRsg.jpg.2e1ddec3dda4dcc8c796e5e98e3033c7.jpg

Результат распаковки:

uIN3HQoV-DA.jpg.663f588043c04db6bb4059f0af561be1.jpg

OGu45--40Lw.jpg.028bf9ef50195f1df9a557d83965c49b.jpg

 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...