由于该漏洞允许我们只创建空文件 。可以通过在文件的末尾添加”:”来绕过文件删除,该文件会被视为备用数据流 。作为回调返回
ACE_CALLBACK_RETURN_CANCEL,则dll会尝试删除文件的备用数据流而不是文件本身 。如果相对路径字符串以””(斜杠)开头,则dll代码中还有另一个过滤函数会中止提取操作 。但是,通过将”*”或”?”字符(通配符)添加到压缩文件的相对路径(文件名字段),将跳过此检查,并且代码可以继续执行并触发文件遍历漏洞 。由于WinRAR代码中的回调验证器,它不会触发WinRAR中的错误 。总结:
从WinRAR回调(
ACE_CALLBACK_RETURN_CANCEL)获取中止代码后,unacev2.dll并没有中止操作 。由于延迟检查WinRAR回调的返回代码,因此会创建漏洞利用文件中指定的目录 。
提取的文件会在在exploit文件中指定的完整路径上创建的(空文件) 。
从回调中检查返回的代码(在调用WriteFile API之前)之后立即删除它 。可以绕过删除文件的方法,但只能创建空文件 。
漏洞利用
ACE文件,改名为.rar格式
执行后触发漏洞,会创建文件C:some_foldersome_file.txt 。该路劲可以替换为其他更危险的目录造成其他攻击,比如启动项:
影响版本
WinRAR 5.70 Beta 1以下版本
Bandizip4.0.0.1170及以下版本
360 压缩4.0.0.1170及以下版本
好压(2345 压缩) 5.9.8.10907及以下版本
7zip几年前已经删除了调用该动态链接库的,所以不受该漏洞影响,7zip是开源免费,支持多格式的压缩软件,建议大家使用 。
修复建议
版本升级 尽快升级到最新版本的 WinRAR和上面提及的涉及软件 。WinRAR请升级到 5.70 Beta 1,其他软件等各官方更新后请自行升级 。
删除涉及动态链接库 为了避免攻击可以删除涉及的dll文件UNACEV2.dll,可以使用搜索(Everything等软件) 。WinRAR中UNACEV2.dll截图如下:
推荐阅读
- 苹果怎么给软件加密码 苹果如何给软件加密码
- 外挂是怎么破解的?
- 如何进入加密qq空间 进入加密qq空间的方法
- 手机文件夹加密锁软件加密步骤 手机加密锁
- pdf如何取消加密,一键移除pdf密码教程
- qq一键群发助手推荐 企业qq群发器破解版
- 有没有像另外一个像"翱翔"guoguo6688这样提供软件破解激活码的可信任的个人博客
- 我平时用宏杰加密文件,可是RECYCLER88被我删了,我那些加密且隐藏的文件怎么办?
- 下架并封禁 B站回应公共场所监控被破解上传
- 免费文件加密软件排行 文件加密系统软件设计