Jessica74016/CVE-2025-8088

# CVE-2025-8088 CVE-2025-8088 — 针对 WinRAR 通过 NTFS 备用数据流 (ADS) 进行路径遍历漏洞的教育性概念验证，CVSS 8.4 HIGH，已被 RomCom APT (Storm-0978) 利用，支持可配置遍历深度、自动发现 rar.exe 以及交互式终端界面 ## 漏洞概述 **CVE-2025-8088** 是 WinRAR 中的一个严重路径遍历漏洞，当受害者解压特制的 RAR 压缩包时，攻击者可以利用该漏洞将任意文件写入敏感的系统位置。该漏洞利用了 NTFS **备用数据流 (ADS)** —— ADS 语法中的冒号 (`:`) 字符绕过了 WinRAR 的解压目录验证，使得载荷能够部署到预期文件夹之外。 | 详情 | 值 | |--------|-------| | **CVE ID** | [CVE-2025-8088](https://nvd.nist.gov/vuln/detail/CVE-2025-8088) | | **CVSS v3.1** | 8.8 (HIGH) | | **CVSS v4.0** | 8.4 (HIGH) | | **受影响版本** | WinRAR ≤ 7.12, UnRAR.dll, 便携版源码 (仅限 Windows) | | **已修复** | WinRAR 7.13 (2025年7月30日) | | **发现时间** | 2025年7月18日 by ESET Research | | **归因** | RomCom / Storm-0978 / Tropical Scorpius / UNC2596 | | **CISA KEV** | 已被列入已知被利用漏洞目录 | | **攻击向量** | 特制 RAR 压缩包 → 解压 → 载荷进入 Startup 文件夹 | ### 攻击流程 1. 攻击者制作一个包含诱饵文件和 ADS 嵌入载荷的 RAR 压缩包 2. ADS 文件名使用 `..\..\` 路径遍历片段来逃离解压目录 3. 目标路径：`AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\` 4. 受害者在任意文件夹解压该压缩包 —— 载荷会静默进入 Windows 启动目录 5. 下次重启时，载荷自动执行 ### 现实世界中的利用 在 2025 年 7 月 18 日至 21 日之间，与俄罗斯有关的威胁组织 **RomCom**（也被追踪为 Storm-0978, Tropical Scorpius）在针对欧洲和加拿大的金融、制造、国防和物流公司的鱼叉式网络钓鱼活动中利用了此漏洞。随后至少有 **8 个威胁组织** 将该漏洞武器化。ESET 于 7 月 24 日报告了该漏洞；WinRAR 7.13 于 2025 年 7 月 30 日发布。 ## 官方参考 | # | 资源 | 链接 | |:-:|----------|------| | 1 | NVD 条目 | [nvd.nist.gov/vuln/detail/CVE-2025-8088](https://nvd.nist.gov/vuln/detail/CVE-2025-8088) | | 2 | ESET Research | [welivesecurity.com — WinRAR zero-day](https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/) | | 3 | WinRAR 更新日志 | [rarlab.com](https://www.rarlab.com/) | | 4 | Qualys 威胁公告 | [threatprotect.qualys.com](https://threatprotect.qualys.com/2025/08/11/winrar-path-traversal-vulnerability-exploited-in-the-wild-cve-2025-8088/) | | 5 | AhnLab ASEC 公告 | [asec.ahnlab.com](https://asec.ahnlab.com/en/89550/) | ## 功能特性

漏洞利用引擎
✅	通过 NTFS 备用数据流 (ADS) 进行路径遍历
✅	可配置的遍历深度 (--max_up，默认 16 层)
✅	在标准 WinRAR 路径中自动发现 rar.exe
✅	自定义诱饵文件创建（如果缺失则自动生成）
✅	载荷注入到 Windows 启动文件夹路径
界面
✅	带有 colorama 配色的交互式终端界面
✅	针对所有 PoC 参数的交互式设置菜单
✅	包含完整 CVE 技术详情的关于屏幕
✅	示例载荷生成器（无害的 payload.bat）
安全性
✅	持久化 JSON 配置 (config.json)
✅	验证 —— 执行前需要释放文件夹和载荷
✅	带有 argparse 的直接 CLI 模式，用于脚本化使用

## 快速开始 ### 前置条件 | 依赖 | 版本 | 用途 | |------------|---------|---------| | Python | 3.6+ | 运行时 | | WinRAR | ≤ 7.12 (存在漏洞) | 用于创建压缩包的 `rar.exe` | | Windows NTFS | 必需 | ADS 支持 (不支持 FAT32/exFAT) | | colorama | ≥ 0.4.6 | 终端彩色输出 | ### 安装 ``` git clone cd CVE-2025-8088 python launcher.py ``` 从菜单中选择 **[1] Install Dependencies** 以安装 `colorama`。 ## 配置 所有设置都存储在 `config.json` 中，可以从启动器菜单（选项 `[2]`）编辑或手动编辑： ``` { "decoy": "resume.txt", "payload": "payload.bat", "drop": "C:\\Users\\Public\\Documents", "rar": "", "out": "cve-2025-8088-sxy-poc.rar", "workdir": ".", "placeholder_len": 0, "max_up": 16, "base_out": "" } ``` | 键 | 描述 | 默认值 | |-----|-------------|---------| | `decoy` | 展示给受害者的诱饵文件（如果缺失则创建） | `resume.txt` | | `payload` | 要嵌入的载荷文件 (BAT, LNK, DLL, EXE) | `payload.bat` | | `drop` | 良性解压文件夹（绝对路径） | `""` | | `rar` | `rar.exe` 的路径（空 = 自动发现） | `""` | | `out` | 输出 RAR 压缩包文件名 | `cve-2025-8088-sxy-poc.rar` | | `workdir` | 临时文件的工作目录 | `.` | | `max_up` | `..` 遍历层级的数量 | `16` | ## 使用说明 ### 交互式启动器 ``` ╔══════════════════════════════════════════════════════════╗ ║ CVE-2025-8088 WinRAR Path Traversal PoC [CYBER] ║ ╚══════════════════════════════════════════════════════════╝ ┌─ ACTIONS ──────────────────────────────────────────────┐ │ [1] Install Dependencies │ │ [2] Settings │ │ [3] About │ │ [4] Run PoC │ │ [5] Usage / Help │ │ [6] Create Sample Payload │ │ [0] Exit │ └────────────────────────────────────────────────────────┘ ``` | 选项 | 操作 | |:------:|--------| | `1` | 安装 `colorama` 并验证 WinRAR 是否存在 | | `2` | 配置诱饵、载荷、释放文件夹、rar 路径、遍历深度 | | `3` | 显示 CVE 技术详情和归因信息 | | `4` | 生成嵌入了 ADS 载荷的恶意 RAR 压缩包 | | `5` | 显示 CLI 用法和参数参考 | | `6` | 创建一个无害的示例 `payload.bat` 用于测试 | | `0` | 退出 | ### 直接 CLI ``` python poc.py --decoy resume.txt --payload payload.bat --drop "C:\Users\you\Documents" --rar "C:\Program Files\WinRAR\rar.exe" --out poc-output.rar --max_up 16 ``` | 参数 | 必需 | 描述 | |----------|:--------:|-------------| | `--decoy` | 是 | 诱饵文件路径（如果缺失则自动创建） | | `--payload` | 是 | 载荷文件路径 (BAT, LNK, DLL 等) | | `--drop` | 是 | 良性解压文件夹的绝对路径 | | `--rar` | 否 | `rar.exe` 的路径（如果省略则自动发现） | | `--out` | 否 | 输出 RAR 文件名 | | `--workdir` | 否 | 工作目录 | | `--max_up` | 否 | `..` 遍历片段的数量 (默认: 16) | ## 项目结构 ``` CVE-2025-8088/ ├── main.py # Entry point — sets CMD title/color, launches menu ├── launcher.py # Terminal interface — settings, about, run ├── poc.py # Core PoC engine — ADS creation, RAR generation ├── config.json # Persistent settings (auto-created) ├── requirements.txt # Python dependencies (colorama) └── README.md # This file ``` ## 常见问题

这在 Linux 或 macOS 上有效吗？

无效。CVE-2025-8088 利用的是 NTFS 备用数据流，这是 Windows 特有的文件系统功能。该漏洞不影响 Linux/Unix 版本的 WinRAR 或 Android 版的 RAR。该 PoC 需要 Windows NTFS 和 `rar.exe`。

WinRAR 7.13 安全吗？

安全。RARLAB 在 2025 年 7 月 30 日发布的 WinRAR 7.13 中修补了 CVE-2025-8088。如果您正在运行 7.12 或更早版本，请立即更新。

为什么 PoC 要针对启动文件夹？

Windows 启动文件夹 (`AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\`) 是一种众所周知的持久化机制 —— 放置在那里的任何可执行文件都会在用户登录时自动运行。这与 RomCom 在其真实攻击活动中使用的技术相同。

这能被杀毒软件检测到吗？

现代 EDR 解决方案和更新的杀毒软件签名可能会检测到特制的 RAR 压缩包或 ADS 遍历模式。然而，在最初被利用时（2025 年 7 月），该技术是零日漏洞，没有签名。此 PoC 用于对检测能力进行教育性验证。

什么是“示例载荷”？

选项 `[6]` 创建一个无害的 `payload.bat`，它只是打印一条消息并暂停。它是为安全测试而设计的 —— 不执行任何恶意操作。

谁发现了这个漏洞？

ESET Research 在分析 RomCom 组织（也称为 Storm-0978, Tropical Scorpius, UNC2596）的鱼叉式网络钓鱼活动时，于 2025 年 7 月 18 日发现了 CVE-2025-8088。该漏洞于 7 月 24 日报告给 RARLAB，补丁于 7 月 30 日发布。

## 免责声明

**如果此 PoC 对您的研究有帮助，请考虑点个 Star** ⭐ *负责任的披露拯救生命。请为您的软件打补丁。*

标签：ADS, APT, Conpot, CVE-2025-8088, CVSS 8.4, DNS 解析, NTFS, PoC, Python, RomCom, Storm-0978, Windows安全, WinRAR, 任意文件写入, 压缩软件, 数据展示, 无后门, 暴力破解, 概念验证, 知识库安全, 红队, 网络信息收集, 路径遍历, 逆向工具, 高危漏洞