★且听安全★-点关注，不迷路！

★漏洞空间站★-优质漏洞资源和小伙伴聚集地！

开发 WinRAR 的 RarLab 公司研发的 unrar Linux 版本二进制文件中发现了一个路径穿越漏洞 CVE-2022-30333 ，可以实现任意文件写入。

首先进行补丁对比。主要修改位于 `ulinks.cpp` 文件：

新增 `SafeCharToWide` 函数。但是最关键的地方不在这个函数，注意下面的修改：

函数 `IsRelativeSymlinkSafe` 输入参数发生了变化，当判断 rar 压缩包符号链接属于 Windows 样式，会将原始输入的参数 `hd->RedirName` 换成经过 `DosSlashToUnix` 函数转换后的参数 `TargetW` 。未修复版本处理逻辑如下：

`DosSlashToUnix` 函数会将 `\` 替换成 `/` ：

`IsRelativeSymlinkSafe` 函数会检查路径中是否包含路径穿越字符串：

查看 `IsPathDiv` 定义发现 Windows 检查 `..\` 和 `..\` ，Linux 只检查 `../`：

上面的处理逻辑看起来没有问题，但是 `IsRelativeSymlinkSafe` 函数的输入写成了原始的 `hd->RedirName` 而非检查处理过的 `Target` 。这样我们就可以在 Windows 系统上生成存在 `..\` 路径穿越符号链接的 rar文件，绕过 `IsRelativeSymlinkSafe` 检查。按照漏洞触发原理和 unrar 解压流程构造 rar 文件，调试效果如下：

成功绕过检查，最终完成路径穿越并创建文件。

前面已经说到，新版本函数 `IsRelativeSymlinkSafe` 输入参数发生了变化，当判断 rar 压缩包符号链接属于 Windows 样式，会将原始输入的参数换成了经过 `DosSlashToUnix` 函数转换后的参数 。这样构造的特殊 rar 文件过不了 `IsRelativeSymlinkSafe` 的检查。

由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用本人负责，且听安全及文章作者不为此承担任何责任。

★且听安全★-点关注，不迷路！

★漏洞空间站★-优质漏洞资源和小伙伴聚集地！