Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞验证

admin
admin
admin
137989
文章
113
评论
2025年3月21日00:28:28评论16 views字数 800阅读2分40秒阅读模式
Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞验证

Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞的概念验证。该程序将伪装成视频的恶意文件上传到 Telegram 频道,利用安全漏洞安装恶意软件或重定向用户。

先决条件

  • 您的系统上安装了 Python 3.x。

  • pyTelegramBotAPI图书馆 (pip install pyTelegramBotAPI)。

  • Telegram 机器人代币

  • 机器人具有发布权限的 Telegram 频道或聊天 ID。

  • 恶意文件(Poc_CVE_2024_7014.txt)和缩略图(thumbnail.jpg)位于同一目录中。

用法

  • 打开Poc_CVE_2024_7014.py并更新以下变量:

  • BOT_TOKEN:用您的 Telegram 机器人令牌替换。

  • CHAT_ID:替换为目标频道的聊天 ID(例如,@testevilvideo)。

  • FILE_PATH:确保它指向恶意文件。

  • 标题:如果需要,可自定义标题

重要的:

从文件Poc_CVE_2024_7014.txt(包含 HTML 有效负载)开始。完成修改后(例如,更新 APK 下载链接),将其重命名为malicious_video.mp4。这会将文件伪装成视频,从而利用漏洞。- 示例:编辑Poc_CVE_2024_7014.txt,然后另存为malicious_video.mp4。

可选缩略图:

脚本可以包含缩略图 (thumbnail.jpg),以使“视频”看起来更合法。要更改缩略图,请将 thumbnail.jpg 替换为您想要的图像(建议尺寸:320x180 像素)

Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞验证
Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞验证

项目地址:

https://github.com/absholi7ly/PoC-for-CVE-2024-7014-Exploit

原文始发于微信公众号(Ots安全):Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞验证

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月21日00:28:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞验证https://cn-sec.com/archives/3864939.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息