CVE-2025-24071:通过 RAR/ZIP 提取和 .library-ms 文件泄露 NTLM 哈希值

admin 2025年5月7日22:48:05评论10 views字数 1807阅读6分1秒阅读模式

通过 RAR/ZIP 提取和 .library-ms 文件进行 NTLM 哈希泄漏的技术说明

当一个包含 SMB 路径的精心设计的.library-ms文件被压缩到 RAR/ZIP 压缩包中并解压时,Windows 资源管理器会根据其内置的索引和预览机制自动解析该文件的内容。出现这种情况的原因是,即使用户从未明确打开或点击过该文件,Windows 资源管理器也会在解压时自动处理某些文件类型,以生成预览、缩略图或索引元数据。

.library-ms文件 格式基于 XML,Windows 资源管理器会信任该文件来定义搜索和库位置。提取后,索引服务和资源管理器的内置文件解析机制会立即分析.library-ms文件内容,以呈现合适的图标、缩略图或元数据信息。

提供的文件包含一个直接指向攻击者控制的 SMB 服务器的<simpleLocation>标签:

CVE-2025-24071:通过 RAR/ZIP 提取和 .library-ms 文件泄露 NTLM 哈希值

提取后,Windows 资源管理器会尝试自动解析此 SMB 路径 (\192.168.1.116shared) 以收集元数据和索引文件信息。此操作会触发从受害者系统到攻击者控制的 SMB 服务器的隐式 NTLM 身份验证握手。因此,受害者的 NTLMv2 哈希会在没有明确用户交互的情况下发送。

此漏洞的出现是因为 Windows 资源管理器隐式信任.library-ms文件,并在从存档中提取某些文件类型后立即自动处理这些文件类型。攻击者可以利用这种隐式信任和自动文件处理行为来泄露凭据,然后利用这些凭据进行传递哈希攻击或离线 NTLM 哈希破解。

自动文件处理观察

使用 Procmon,我们可以清楚地观察到,在提取.library-ms文件 后,Explorer.exe和索引服务(例如SearchProtocolHost.exe)会立即自动执行以下操作

  • CreateFile:该文件由Explorer自动打开。
  • ReadFile:读取文件内容以提取元数据。
  • QueryBasicInformationFile:执行元数据查询。
  • CloseFile:处理完成后关闭文件。

此外,SearchProtocolHost.exe作为 Windows 文件索引服务的一部分被调用。Explorer.exe完成初始处理后,索引服务将重新打开并读取文件以索引其内容。这进一步证实了提取文件时文件的自动处理

  • CreateFile、ReadFile、QueryBasicInformationFile、CloseFile:由SearchProtocolHost.exe执行,将文件内容添加到搜索索引中。

这些操作最终表明,Windows 在提取文件后会立即自动处理文件,无需任何明确的用户交互。Explorer.exeSearchProtocolHost.exe都会自动读取并处理.library-ms文件的 XML 内容,并尝试连接其中嵌入的 SMB 路径。

procmon进程

SMB 通信证据

使用带有 SMB 过滤器(smbsmb2 )的 Wireshark,您可以直接观察到恶意.library-ms文件的提取会立即触发 SMB 通信尝试。Wireshark 捕获的数据揭示了以下 SMB 数据包序列:

  • SMB2 协商协议请求:从受害者到攻击者控制的服务器(192.168.1.116)。
  • SMB2 会话设置请求(NTLMSSP_AUTH):清楚地显示 NTLM 身份验证握手的启动,证明 Windows 在提取文件时自动尝试与 SMB 服务器进行身份验证。

wireshark进程

即使文件被移至垃圾箱,它仍将保持功能并继续工作。

利用

该漏洞正在被广泛利用,并可能被名为“Krypt0n”的威胁行为者在 xss 论坛上出售。该威胁行为者也是名为“EncryptHub Stealer”的恶意软件的开发者。

让我来澄清一下。发送哈希值的服务器是在本地创建的,例如在 VPS 上。然后,利用漏洞,你可以生成一个包含你的 IP、共享等信息的配置。之后,会创建一个特殊的配置。你可以将它放在任何位置的共享文件夹中——具体位置无关紧要。如果用户只是打开资源管理器或访问共享文件夹,就会发生自动重定向(请求被重定向),用户的哈希值就会发送到你的服务器。就是这样。放置在共享文件夹中的文件无需打开。

检查此漏洞的 PoC。

https://github.com/0x6rss/CVE-2025-24071_PoC

原文始发于微信公众号(7维空间):CVE-2025-24071:通过 RAR/ZIP 提取和 .library-ms 文件泄露 NTLM 哈希值

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月7日22:48:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2025-24071:通过 RAR/ZIP 提取和 .library-ms 文件泄露 NTLM 哈希值https://cn-sec.com/archives/4038591.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息