CVE-2025-24054的漏洞深度解析与 PoC 利用指南

admin 2025年5月29日16:22:04CVE-2025-24054的漏洞深度解析与 PoC 利用指南已关闭评论29 views字数 1809阅读6分1秒阅读模式

关于 CVE-2025-24071(已更新为 CVE-2025-24054)的漏洞深度解析与 PoC 利用指南

CVE-2025-24054的漏洞深度解析与 PoC 利用指南

​​一、漏洞核心原理与机制​​

​​漏洞成因​​

Windows 资源管理器在处理包含恶意 .library-ms 文件的压缩包(RAR/ZIP)时,会​​自动解析文件内容并触发隐式 SMB 连接​​。

​​文件格式缺陷​​:.library-ms 是基于 XML 的库文件,用于定义网络路径搜索规则。攻击者可构造包含 \\<攻击者IP>\shared 的路径标签,嵌入压缩包中。

​​自动解析机制​​:解压时,资源管理器和索引服务(如 SearchProtocolHost.exe)会主动读取文件元数据,尝试连接攻击者指定的 SMB 服务器,触发 NTLMv2 认证握手。

​​无需用户交互​​

仅需解压文件(无需双击或预览),系统即自动发起 SMB 请求,导致 ​​NTLMv2 哈希泄露​​。

​​二、漏洞影响范围与危害​​

​​受影响系统​​

​​Windows 客户端​​:Windows 10/11(21H2、22H2、23H2、24H2 等)。

​​Windows 服务器​​:Server 2012 R2、2016、2019、2022、2025(包括 Server Core 版本)。

​​攻击场景​​

​​横向移动​​:捕获的哈希可用于中继攻击(NTLM Relay)或暴力破解,渗透内网。

​​黑市价值​​:普通用户哈希价值约 1-10 美元,域管理员哈希可达数万美元。

​​三、PoC 利用与复现步骤​​

​​工具准备​​

​​攻击机​​:Kali Linux(安装 Responder 工具)

​​目标机​​:未打补丁的 Windows 系统

​​PoC 脚本​​:GitHub 仓库 提供的 poc.py。

​​生成恶意压缩包​​

运行脚本生成包含恶意 .library-ms 的 ZIP 文件:

python poc.py

Enter your file name: exploit

Enter IP: <攻击机IP>

生成的 exploit.zip 包含指向攻击机 SMB 共享的 XML 配置。

​​触发漏洞与捕获哈希​​

在攻击机启动 Responder 监听:

sudo responder -I eth0 -wvF

将 exploit.zip 传输至目标机并解压,观察 Responder 捕获的 NTLMv2 哈希。

​​哈希破解示例​​

使用 Hashcat 暴力破解:

hashcat -m 5600 captured_hash.txt wordlist.txt --force

8 位纯数字密码可在数秒内破解,12 位混合密码需数小时。

​​四、防御与缓解措施​​

​​官方补丁​​

安装 2025 年 3 月及之后的 Windows 累积更新(如 KB5053606)。

​​网络层防护​​

​​阻断出站 SMB 流量​​:防火墙禁止 TCP 445 端口出站。

​​禁用 IPv6​​:部分攻击利用 IPv6 协议渗透,需关闭非必要协议。

​​用户行为规范​​

避免解压不明来源压缩包,优先使用 7-Zip 等第三方工具查看内容(不触发自动解析)。

强制使用长密码策略(如 16 位混合字符)降低哈希破解成功率。

​​五、时间线与更新​​

​​2025-03-18​​:漏洞细节与 PoC 公开。

​​2025-03-25​​:微软更新漏洞编号为 ​​CVE-2025-24054​​[^更新说明]。

​​2025-05-07​​:在野利用确认,威胁组织 "Krypt0n" 售卖漏洞利用工具。

​​六、扩展研究(技术深挖)​​

​​流量分析​​

Wireshark 捕获显示,解压操作触发 SMB2 Negotiate Protocol Request 和 NTLMSSP_AUTH 数据包,明确暴露认证流程。

​​横向攻击手法​​

​​NTLM 中继​​:将哈希中继至 LDAP/EWS 服务,提升权限或窃取数据。

​​强制认证触发​​:结合 PrinterBug 或 PetitPotam 漏洞扩大攻击面。

​​总结​​

CVE-2025-24054 暴露了 Windows 文件解析机制的深层信任问题。企业需结合​​补丁管理​​、​​网络隔离​​与​​用户教育​​构建防御体系,同时关注哈希中继等衍生风险。安全研究人员可通过分析流量特征(如自动触发的 SearchProtocolHost.exe 进程)检测潜在攻击。

​​注​​:本文所有技术细节仅限防御研究,严禁用于非法攻击。漏洞编号以微软最新公告为准。

poc:

https://github.com/0x6rss/CVE-2025-24071_PoC

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月29日16:22:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2025-24054的漏洞深度解析与 PoC 利用指南https://cn-sec.com/archives/4110744.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.