rimbadirgantara/opac-fast-automation

# CVE-2025-65862 — 文档、分析与自动化工具（仅供研究使用） ## 📌 CVE-2025-65862 概述 - **CVE ID** : CVE-2025-65862 - **受影响产品** : SLiMS Bulian v9.7.2 - **分类** : Arbitrary File Upload → Remote Code Execution (RCE) - **严重程度** : 中等 - **公开研究来源** : https://medium.com/@xpl0dec/zeroday-slims9-bulian-v9-7-2-arbitrary-file-write-to-rce-6a458ad7960f ### 🧩 问题所在？ 在 SLiMS Bulian 9.7.2 中，当用户（使用弱凭据）上传 ZIP 插件文件时，存在 **misconfiguration**。 流程如下： 1. 应用程序接收 ZIP 文件上传。 2. 系统自动进行解压。 3. 解压后的文件被放置到：**/plugins/** 4. ZIP 中的所有文件都会被解压，包括 `.php` 文件。 5. 如果 ZIP 包含类似如下的 backdoor 文件： └── myplugin/ └── shell.php 则可以通过以下路径访问该文件：**/plugins/myplugin/shell.php** 6. 如果用户使用了弱凭据组合，这可能会导致 **arbitrary file upload** → **remote code execution**。 ## 🔍 妥协指标 (IOC) 如果您正在管理 SLiMS，请注意以下几点： - `/plugins/` 中存在可疑文件夹 - 插件文件夹内存在陌生的 PHP 文件 - 使用弱密码账户上传插件的日志 - 上传 .zip 文件后出现异常的文件活动 - 可疑的请求指向： /plugins//something.php ## 🛡️ 缓解措施与建议 1. **将 SLiMS 更新至最新版本或可用的安全补丁。** 2. **更改 admin/user 密码**，使用强密码标准（CISA.gov 规定）。 3. 如果不使用，**请禁用插件上传**功能。 4. **监控 `/plugins/` 目录**并删除未知文件。 5. **审计 admin 日志**以检查是否有未经授权的上传。 6. 如果怀疑系统被攻破，**请隔离系统**。 7. 从事件发生前的 **backup 中恢复**。 ## ⚙️ 自动化脚本文档 此脚本用于： - 自动化测试 CVE-2025-65862 misconfiguration， - 测试 SLiMS 实例是否存在漏洞， - 上传包含 payload 的 ZIP 插件 *用于研究*。 ### 🎛️ **Arguments** | Flag | 功能 | |------|------------------------------------------------------------------| | -l | 目标 SLiMS 列表文件的路径 | | -f | 要测试的 ZIP 插件（包含用于研究的 payload/backdoor） | | -o | 用于保存结果 | ## ▶️ 使用示例  ## 📦 依赖项 在运行该工具之前安装以下库：**pip install httpx beautifulsoup4 urllib3** Python 内置库（无需安装）： - argparse - random - datetime - time - os - re - concurrent.futures ## 🔐 Licensing 本仓库使用 **Proprietary — All Rights Reserved** 许可协议 旨在防止该研究工具被无关人员滥用。 **未经**作者许可，您**不得**： - 重新分发， - 修改， - 转售此工具 ## 📝 结语 本仓库作为漏洞记录、技术分析以及测试工具开发的文档。 请以道德和专业的方式使用。

标签：SLiMS, 任意文件上传, 数字取证, 编程工具, 自动化脚本, 运行时操纵, 远程代码执行, 逆向工具