通过 RAR/ZIP 提取和 .library-ms 文件进行 NTLM 哈希泄漏的技术说明
当一个包含 SMB 路径的精心设计的.library-ms文件被压缩到 RAR/ZIP 压缩包中并解压时,Windows 资源管理器会根据其内置的索引和预览机制自动解析该文件的内容。出现这种情况的原因是,即使用户从未明确打开或点击过该文件,Windows 资源管理器也会在解压时自动处理某些文件类型,以生成预览、缩略图或索引元数据。
.library-ms文件 格式基于 XML,Windows 资源管理器会信任该文件来定义搜索和库位置。提取后,索引服务和资源管理器的内置文件解析机制会立即分析.library-ms文件内容,以呈现合适的图标、缩略图或元数据信息。
提供的文件包含一个直接指向攻击者控制的 SMB 服务器的<simpleLocation>标签:
提取后,Windows 资源管理器会尝试自动解析此 SMB 路径 (\192.168.1.116shared) 以收集元数据和索引文件信息。此操作会触发从受害者系统到攻击者控制的 SMB 服务器的隐式 NTLM 身份验证握手。因此,受害者的 NTLMv2 哈希会在没有明确用户交互的情况下发送。
此漏洞的出现是因为 Windows 资源管理器隐式信任.library-ms文件,并在从存档中提取某些文件类型后立即自动处理这些文件类型。攻击者可以利用这种隐式信任和自动文件处理行为来泄露凭据,然后利用这些凭据进行传递哈希攻击或离线 NTLM 哈希破解。
自动文件处理观察
使用 Procmon,我们可以清楚地观察到,在提取.library-ms文件 后,Explorer.exe和索引服务(例如SearchProtocolHost.exe)会立即自动执行以下操作:
- CreateFile:该文件由Explorer自动打开。
- ReadFile:读取文件内容以提取元数据。
- QueryBasicInformationFile:执行元数据查询。
- CloseFile:处理完成后关闭文件。
此外,SearchProtocolHost.exe作为 Windows 文件索引服务的一部分被调用。Explorer.exe完成初始处理后,索引服务将重新打开并读取文件以索引其内容。这进一步证实了提取文件时文件的自动处理:
- CreateFile、ReadFile、QueryBasicInformationFile、CloseFile:由SearchProtocolHost.exe执行,将文件内容添加到搜索索引中。
这些操作最终表明,Windows 在提取文件后会立即自动处理文件,无需任何明确的用户交互。Explorer.exe和SearchProtocolHost.exe都会自动读取并处理.library-ms文件的 XML 内容,并尝试连接其中嵌入的 SMB 路径。
procmon进程
SMB 通信证据
使用带有 SMB 过滤器(smb或smb2 )的 Wireshark,您可以直接观察到恶意.library-ms文件的提取会立即触发 SMB 通信尝试。Wireshark 捕获的数据揭示了以下 SMB 数据包序列:
- SMB2 协商协议请求:从受害者到攻击者控制的服务器(192.168.1.116)。
- SMB2 会话设置请求(NTLMSSP_AUTH):清楚地显示 NTLM 身份验证握手的启动,证明 Windows 在提取文件时自动尝试与 SMB 服务器进行身份验证。
wireshark进程
即使文件被移至垃圾箱,它仍将保持功能并继续工作。
利用
该漏洞正在被广泛利用,并可能被名为“Krypt0n”的威胁行为者在 xss 论坛上出售。该威胁行为者也是名为“EncryptHub Stealer”的恶意软件的开发者。
让我来澄清一下。发送哈希值的服务器是在本地创建的,例如在 VPS 上。然后,利用漏洞,你可以生成一个包含你的 IP、共享等信息的配置。之后,会创建一个特殊的配置。你可以将它放在任何位置的共享文件夹中——具体位置无关紧要。如果用户只是打开资源管理器或访问共享文件夹,就会发生自动重定向(请求被重定向),用户的哈希值就会发送到你的服务器。就是这样。放置在共享文件夹中的文件无需打开。
检查此漏洞的 PoC。
https://github.com/0x6rss/CVE-2025-24071_PoC
原文始发于微信公众号(7维空间):CVE-2025-24071:通过 RAR/ZIP 提取和 .library-ms 文件泄露 NTLM 哈希值
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论