文章总结: 本文介绍了CVE-2025-8088漏洞的武器化实现方法,该漏洞与WinRAR压缩包和NTFS交换数据流(ADS)相关。作者首先解释了RAR5文件格式和ADS流的基础知识,然后详细描述了如何创建恶意RAR文件来利用此漏洞。作者设计了一个跨平台的武器化工具,能够生成包含恶意ADS流的RAR文件,可用于网络钓鱼攻击。文章提供了实现思路和技术细节,但未公开完整代码以防止滥用。 综合评分: 75 文章分类: 漏洞分析,漏洞POC,武器化,钓鱼攻击,NTFS安全
CVE-2025-8088武器化那些事
原创
MG
不吃猹的瓜
2025年12月13日 17:14 北京
这篇不写React漏洞的分析,不写的原因很简单:平头哥说他学会了,他来写。 又可以从平头哥那偷学一点挖洞小技巧了!
上网冲浪的时候看到了360发了APT-C-53(Gamaredon)利用CVE-2025-8088进行网络钓鱼攻击活动,想起来之前还有winrar漏洞的坑没填,这一篇咱就给它填上!在C危险的压缩包系列第一篇—CVE-2025-8088中,平头哥介绍了漏洞的成因,漏洞修复方案以及从攻防两侧简单讨论了这个漏洞,不了解的读者朋友可以点击阅读。身为野生漏洞武器化爱好者的我更关注如何编写代码一键生成钓鱼样本。声明,本人只是个菜菜的野生武器化爱好者,所做的一切研究和测试都是学习目的,没经过任何实战!如果思考和实现过程中有任何错误,非常欢迎各位读者指正交流!
前置知识
在实现武器化之前需要深入理解以下两个方面。
RAR5文件格式ADS流
RAR5文件格式
RAR5文件格式并没有太多特别之处,简而言之:RAR5文件是由一系列遵循General Archive Block Format格式的Block构成的,每一个Block都包含Header CRC32,Header Size等字段,其中某些字段是固定长度,而有些字段是非固定长度。在实现RAR文件格式的过程中,比较tricky的字段是Block的Header CRC32,RAR5中所有头部结构(Archive Header, File Header等)都使用标准的CRC32算法来确保元数据的完整性,而所谓的元数据是指从 Header size 到 optional extra area的所有数据。
ADS流
ADS流为NTFS交换数据流,这是Windows NTFS文件系统中的一个特性,允许一个文件包含多个数据流。简单来说,使用这个特性可以在不改变文件本身显示大小、不改变主内容的情况下,往文件里藏入额外的数据。这也就是说,该漏洞触发的前置条件是文件系统为NTFS,这也解释了为什么在有些系统中运行恶意RAR文件,但并不能触发漏洞。想在Windows系统中往文件中写入ADS流很简单,直接使用echo "test123" > normal.txt:secret.txt命令即可。
武器化实现
结合以上的分析,很容易想到一种实现方式:
- 使用
CMD命令往poc.pdf中加入恶意的ADS流:路径穿越的payload - 使用
winrar内置命令行工具,将包含恶意ADS流的poc.pdf压缩进恶意的RAR文件中 - 投递
这种方式实现起来十分简单,甚至可以绕过恼人RAR格式构建,以及CRC32校验。但我在实现的时候发现一些问题:
- 与操作系统强相关
- 不好集成进已有的工具中
- 好像生成的压缩包会有问题?具体的问题我已经忘了,因为时间太久了,下次一定第一时间记录!感兴趣的读者可以自己尝试下,然后在评论区告诉我~
这个时候,我们需要重新梳理一下需求:到底需要实现什么样的武器化工具?
- 与操作系统无关,不管是
Linux,Windows还是Mac都能使 - 能够以模块的形式集成进已有的工具中,比如
Sliver
经过梳理后,很自然的就想到,武器化这个漏洞本质就是写一个RAR文件生成器,将恶意的ADS流写入对应的地方,最终生成新的恶意RAR文件,最终效果如下所示:
总结
在写这个漏洞的武器化模板的过程中,有一些不太有建设意义的小技巧,比如:由于payload长度不固定,所以在生成的时候我为了避免后续需要调节块的大小,所以我先是生成了相应长度的占位符,然后进行替换。为了防止炸号,武器化的仓库就不公开了,感兴趣的朋友可以留言或后台私信交流,另外下一篇一定讲React漏洞
Ref
- https://www.sweetscape.com/010editor/repository/templates/file_info.php?file=RAR.bt&type=0&sort=
查看原文:《CVE-2025-8088武器化那些事》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论