https://pwnwiki.com/index.php?action=history&feed=atom&title=CVE-2018-20250_WinRAR%E7%9B%AE%E9%8C%84%E7%A9%BF%E8%B6%8A%E6%BC%8F%E6%B4%9E
CVE-2018-20250 WinRAR目錄穿越漏洞 - Revision history
2026-04-09T02:21:22Z
Revision history for this page on the wiki
MediaWiki 1.35.1
https://pwnwiki.com/index.php?title=CVE-2018-20250_WinRAR%E7%9B%AE%E9%8C%84%E7%A9%BF%E8%B6%8A%E6%BC%8F%E6%B4%9E&diff=1986&oldid=prev
Pwnwiki: /* 漏洞利用 */
2021-05-01T01:52:46Z
<p><span dir="auto"><span class="autocomment">漏洞利用</span></span></p>
<table class="diff diff-contentalign-left diff-editfont-monospace" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="chinese">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Older revision</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Revision as of 01:52, 1 May 2021</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l69" >Line 69:</td>
<td colspan="2" class="diff-lineno">Line 69:</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>修改完成,將文件另存為1.rar。</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>修改完成,將文件另存為1.rar。</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>[[File:1266243-20190308155112326-854060047<del class="diffchange diffchange-inline">.png</del>.png |600px]]</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>[[File:1266243-20190308155112326-854060047.png |600px]]</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>選擇解壓到當前文件夾或解壓到文件夾1都可以,可以看到bat文件成功解壓到開機啟動項裡。</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>選擇解壓到當前文件夾或解壓到文件夾1都可以,可以看到bat文件成功解壓到開機啟動項裡。</div></td></tr>
<!-- diff cache key pwn_wiki:diff::1.12:old-1985:rev-1986 -->
</table>
Pwnwiki
https://pwnwiki.com/index.php?title=CVE-2018-20250_WinRAR%E7%9B%AE%E9%8C%84%E7%A9%BF%E8%B6%8A%E6%BC%8F%E6%B4%9E&diff=1985&oldid=prev
Pwnwiki: Created page with "==漏洞原理== 該漏洞是由於WinRAR 所使用的一個陳舊的動態鏈接庫UNACEV2.dll所造成的,該動態鏈接庫在2006 年被編譯,沒有任何的基礎保..."
2021-05-01T01:51:51Z
<p>Created page with "==漏洞原理== 該漏洞是由於WinRAR 所使用的一個陳舊的動態鏈接庫UNACEV2.dll所造成的,該動態鏈接庫在2006 年被編譯,沒有任何的基礎保..."</p>
<p><b>New page</b></p><div>==漏洞原理==<br />
該漏洞是由於WinRAR 所使用的一個陳舊的動態鏈接庫UNACEV2.dll所造成的,該動態鏈接庫在2006 年被編譯,沒有任何的基礎保護機制(ASLR,DEP 等)。該動態鏈接庫的作用是處理ACE 格式文件。而在解壓處理過程中存在一處目錄穿越漏洞,允許解壓過程寫入文件至開機啟動項,導致代碼執行。<br />
<br />
==漏洞影響==<br />
<pre><br />
WinRAR < 5.70 Beta 1<br />
<br />
Bandizip < = 6.2.0.0<br />
<br />
好壓(2345壓縮) < = 5.9.8.10907<br />
<br />
360壓縮 < = 4.0.0.1170<br />
</pre><br />
<br />
==利用條件==<br />
攻擊不能跨盤符,即受害者進行解壓文件觸發漏洞時,必須在系統盤,且在不知道計算機主機名的情況下,只能在主瀏覽器的默認下載路徑下(C:\Users\Administrator \Downloads)或者桌面進行解壓,或者多猜幾個啟動項路徑。產生漏洞的DLL文件:UNACEV2.DLL,不能識別相對路徑,文件名部分必須為絕對路徑。<br />
<br />
以下是幾種機器的開機啟動項路徑,可以看到在個人PC上受用戶名影響,無法猜測到準確的路徑,而服務器上一般不會修改用戶名,所以這個漏洞在服務器上利用度比較高。<br />
<br />
<br />
==漏洞利用==<br />
這裡我們寫一個bat,進行彈窗演示:<br />
<br />
[[File:1266243-20190308101249378-2013483925.png |600px]]<br />
<br />
然後打開WinAce,選中我們創建的文件,右鍵,點擊Add to...<br />
<br />
[[File:1266243-20190308124414993-1147235497.png |600px]]<br />
<br />
利用WinACE進行壓縮,這裡選擇store full path<br />
<br />
[[File:1266243-20190308144027681-585501340.png |600px]]<br />
<br />
生成之後我們利用腳本檢查一下我們生成的文件1.ace的header信息:<br />
<br />
[[File:1266243-20190308133050691-1223667359.png |600px]]<br />
<br />
這裡幾個是我們需要修改的參數。<br />
<br />
在010Edit工具中打開剛才生成的1.ace文件,將文件路徑替換為啟動項路徑如下,然後可以看到新的完整的文件路徑長度為93,轉換為16進制後為:5D。<br />
<br />
[[File:1266243-20190310222141566-376777695.png |600px]]<br />
<br />
修改完这两个地方之后点击保存,接着还需要修改hdr_size<br />
<br />
[[File:1266243-20190310222410019-46466160.png |600px]]<br />
<br />
[[File:1266243-20190310222513809-688780836.png |600px]]<br />
<br />
這三個地方修改完成之後點擊保存。<br />
<br />
最後利用acefile.py重新查看文件header信息。修改acefile.py,在3061行處添加以下語句,輸出文件hdr_crc。<br />
<br />
[[File:1266243-20190308150606052-328146804.png |600px]]<br />
<br />
<pre><br />
print("[+] right_hdr_crc : {} | struct {} ".format(hex(ace_crc16(buf)),struct.pack('<H', ace_crc16(buf))))<br />
print("[*] current_hdr_crc : {} | struct {}".format(hex(hcrc),struct.pack('<H', hcrc)))<br />
</pre><br />
<br />
[[File:1266243-20190310222732970-1725311033.png |600px]]<br />
<br />
可以看到当前的hdr_crc为:16 9A,我们要把它改为E4 A3,保存之后重新查看文件header信息。<br />
<br />
<br />
[[File:1266243-20190310222933918-1700514051.png |600px]]<br />
<br />
<br />
修改完成,將文件另存為1.rar。<br />
<br />
[[File:1266243-20190308155112326-854060047.png.png |600px]]<br />
<br />
選擇解壓到當前文件夾或解壓到文件夾1都可以,可以看到bat文件成功解壓到開機啟動項裡。<br />
<br />
[[File:1266243-20190309111018388-35896760.png |600px]]<br />
<br />
重啟電腦查看效果<br />
<br />
[[File:1266243-20190309112143784-391653487.png |600px]]<br />
<br />
复现成功,自动运行bat文件弹窗。<br />
<br />
==EXP&POC==<br />
https://github.com/WyAtu/CVE-2018-20250<br />
<br />
https://github.com/QAX-A-Team/CVE-2018-20250<br />
<br />
<br />
==參考==<br />
https://wiki.bylibrary.cn/%E6%BC%8F%E6%B4%9E%E5%BA%93/03-%E4%BA%A7%E5%93%81%E6%BC%8F%E6%B4%9E/winrar/WinRAR%E7%A9%BF%E9%80%8F%E6%BC%8F%E6%B4%9E%EF%BC%88CVE-2018-20250%EF%BC%89/</div>
Pwnwiki