CVE-2022-30333 UnRAR 一个有趣的解压缩路径穿越漏洞
2022-7-3 21:27:48 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

★且听安全-点关注,不迷路!

★漏洞空间站-优质漏洞资源和小伙伴聚集地!

漏洞信息

开发 WinRAR 的 RarLab 公司研发的 unrar Linux 版本二进制文件中发现了一个路径穿越漏洞 CVE-2022-30333 ,可以实现任意文件写入。

漏洞分析

首先进行补丁对比。主要修改位于 `ulinks.cpp` 文件:

新增 `SafeCharToWide` 函数。但是最关键的地方不在这个函数,注意下面的修改:

函数 `IsRelativeSymlinkSafe` 输入参数发生了变化,当判断 rar 压缩包符号链接属于 Windows 样式,会将原始输入的参数 `hd->RedirName` 换成经过 `DosSlashToUnix` 函数转换后的参数 `TargetW` 。未修复版本处理逻辑如下:

`DosSlashToUnix` 函数会将 `\` 替换成 `/` :

`IsRelativeSymlinkSafe` 函数会检查路径中是否包含路径穿越字符串:

查看 `IsPathDiv` 定义发现 Windows 检查 `..\` 和 `..\` ,Linux 只检查 `../`:

上面的处理逻辑看起来没有问题,但是 `IsRelativeSymlinkSafe` 函数的输入写成了原始的 `hd->RedirName` 而非检查处理过的 `Target` 。这样我们就可以在 Windows 系统上生成存在 `..\` 路径穿越符号链接的 rar文件,绕过 `IsRelativeSymlinkSafe` 检查。按照漏洞触发原理和 unrar 解压流程构造 rar 文件,调试效果如下:

成功绕过检查,最终完成路径穿越并创建文件。

修复方式

前面已经说到,新版本函数 `IsRelativeSymlinkSafe` 输入参数发生了变化,当判断 rar 压缩包符号链接属于 Windows 样式,会将原始输入的参数换成了经过 `DosSlashToUnix` 函数转换后的参数 。这样构造的特殊 rar 文件过不了 `IsRelativeSymlinkSafe` 的检查。

由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,且听安全及文章作者不为此承担任何责任。

★且听安全-点关注,不迷路!

★漏洞空间站-优质漏洞资源和小伙伴聚集地!


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg3MTU0MjkwNw==&mid=2247490918&idx=1&sn=01bd930e1fcfb4dd12d25a0618f691eb&chksm=cefda472f98a2d64849b9637a629f82ea35994b820f8846f32708c8f17552c5b30982d5bc8fc&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh