WinRAR 7z压缩包处理溢出分析和利用

本文已经发表在《黑客防线》2007年4月刊。作者及《黑客防线》保留版权，转载请注明原始出处。

适合读者：溢出爱好者
前置知识：汇编语言、缓冲区溢出基本原理

文/图 孤烟逐云（gyzy）【江苏大学信息安全系 & 邪恶八进制信息安全团队】

security.nnov.ru在06年底的时候发布了一个针对WinRAR 7z溢出的POC，可以导致执行恶意代码，可能有些朋友认为7z格式出问题不是那么严重，但WinRAR有个不算Bug的Bug：它是不认扩展名的，这意味着7z格式的压缩包扩展名改成rar还是能被解压，这就给恶意利用创造了机会，嘿嘿。WinRAR安装目录下的一个Formats的目录里面有许多扩展名是fmt的文件，但其实都是DLL，供主程序调用处理不同的压缩包。在7月份的时候LZH格式也出现过Stack Overflow，但这次的7z溢出严格的来说并不能称之为Stack overflow，看完漏洞的分析就知道为什么了。

既然已经有了poc，我们就没有必要自己去阅读大把的7z格式说明文档了，7z是开源的，在他的官方站点（www.7-zip.org)能下载到格式说明和一个开源的工程，感兴趣的朋友可以仔细研究下7z的文件格式。这里我直接给出作者在poc代码中公布的一个已经构造好的畸形压缩包:

这样，一个畸形的7z压缩包就构造好了，大家自己和图片对照一下，如图1

图1
不过先别急着打开，WinRAR会对7z压缩包进行CRC32校验，假如校验有错的话就会提示压缩包损坏。所以我们必须自己重新计算CRC校验值。所幸的是，czy大牛的博客上公布了一个计算7zCRC校验的程序，我在他的基础上略微更改了一下，在此表示感谢。假如大家为了练手要自己动手，那么有一点需要注意，由于第二个CRC值会间接影响到第一个CRC校验，所以必须首先计算第二个CRC校验值，CRC32的算法网上一抓一把，我就不多说了。我提供的7zCRC.exe默认校正当前目录下的test.rar,这一点也请注意，7zCRC.exe能在黑防网站上的配套代码里能找到。

小试牛刀
也许大家会奇怪为什么图1里面我文件名填充的为什么是重复的0x9960呢，答案就是Unicode，7z要求文件名必须是Unicode编码， 0x9960就是两个nop（0x90）的Unicode，对于Unicode我也不多解释，有一点需要牢记：0x80以上的会被转义，举个例子: 0x4100大家都知道是大写的A，但是0x9000就不是大家所熟悉的Nop了，依据语言环境的不同可能会被转义成乱码，正是这一点，给我们的完美利用带来了许多的麻烦。我们双击打开压缩包，然后要点解压到才能触发，WinRAR出错了，如图2：

图2
Offset:90909090 嘿嘿，EIP被覆盖了，接下来要做的就是定位溢出点，两次定位法，我还是不多说，自己翻以前的黑防。我直接给出结果，溢出点就在（filename+8）开始的四个字节，由于我们的Shellcode在栈中，习惯性的想到了中文2000/XP/2k3下通用的Jmp esp跳转地址0x7FFA4512,下面看我的代码：