Ashfaq84/Examining-CVEs-Proof-of-Concepts-and-Snort-Based-Detection

# CVE 分析与检测 — PoC、Snort 检测与缓解措施 # 概述 本仓库记录了在受控实验环境中进行的手动漏洞分析和概念验证（PoC）利用过程。内容包括针对多个高危 CVE 的 PoC、数据包捕获、使用 Snort 进行的 IDS 检测以及建议的缓解策略。所有活动均在隔离的虚拟机（攻击者/目标）中执行，仅用于防御性研究、学习和测试目的。 # CVE 列表（本工作涵盖内容） - BlueKeep — CVE-2019-0708：影响旧版 Windows 的 RDP RCE（可蠕虫传播）；在实验室中通过 Metasploit 进行利用。 - Log4Shell — CVE-2021-44228：Log4j JNDI 查找 RCE — 通过易受攻击的 Docker 应用程序和 LDAP/RMI 利用链进行演示。 - Apache 路径遍历 / RCE — CVE-2021-41773：Apache 2.4.49 中的路径规范化问题，导致文件泄露，且在启用 CGI 时可能导致 RCE。 - 7-Zip MotW 绕过 — CVE-2025-0411：7-Zip（24.09 之前版本）中的 Web 标记绕过，导致解压后的文件丢失 MotW 保护；用于静默部署 Payload。 - Windows OLE 零点击 — CVE-2025-21298：OLE 解析中的释放后重用漏洞，允许通过恶意 RTF 实现零点击 RCE。 - Sysinternals DLL 加载 / DLL 劫持（0-day 风格）：通过在 Sysinternals 工具（例如 Process Explorer）旁提供恶意 DLL，演示了 DLL 注入/劫持，以实现 DoS 或 Meterpreter 反向 Shell。（注：文档中为零日/未分配。） - 旧版 TCP/IP DoS CVE（历史）：用于流量分析背景的 SYN 洪水 和 TCP/IP 栈 DoS CVE。 - 额外内容：Syn 洪水 DoS PoC 转换为端口扫描。 # 概念验证与检测摘要 # 环境 - 攻击者：Kali Linux（Metasploit, msfvenom, 自定义脚本） - 目标：Windows 虚拟机（各种版本），运行易受攻击应用的 Docker 容器 - 文件托管：Python http.server，用于在测试期间传递 Payload - 监控：受害者主机上的 Wireshark 捕获，用于特征检测和日志记录的 Snort IDS。 # 执行的关键 PoC（高层概述） - BlueKeep：使用 Metasploit 模块检查并利用旧版 Windows RDP；通过 Wireshark 中的 RDP 流量和 Snort 警报确认。 - Log4Shell：在 Docker 中部署易受攻击的 Java 应用，托管恶意 LDAP/RMI Payload，在请求头中注入 ${jndi:ldap://…} 以触发远程代码执行（通过 touch /tmp/pwned 演示）。部署规则后 Snort 捕获了利用流量。 - CVE-2021-41773 (Apache)：运行易受攻击的 Apache 容器并发送路径遍历请求以读取 /etc/passwd，通过数据包捕获和 Snort 警报进行验证。 - Sysinternals DLL 劫持：构建恶意 DLL（DoS 或 Meterpreter Payload），与 Sysinternals 二进制文件捆绑，通过 Python HTTP 服务器提供；当在目标上执行时，二进制文件加载了恶意 DLL，产生 DoS 或反向 Shell 行为。展示了通过 Wireshark 和进程活动日志进行的检测。 - 7-Zip MotW 绕过 (CVE-2025-0411)：创建嵌套 7z 存档以在解压时剥离 MotW，投递 loader.exe；解压后，loader 在没有 MotW 警告的情况下执行，导致反向 Shell 或 DoS。 - OLE 零点击 (CVE-2025-21298)：制作恶意 RTF，在 Word 中打开/预览以触发崩溃并证明可利用性；还演示了 Meterpreter 反向 Shell 的可能性。 # IDS (Snort) 检测 - 部署了自定义/标准 Snort 特征以检测：BlueKeep 利用模式、Log4Shell PoC 使用的 JNDI/LDAP 指标、Apache 上的目录遍历尝试，以及 PoC 中使用的可疑下载/HTTP 请求头。Snort 在测试中记录了每个被利用案例的警报；Wireshark 跟踪证实了网络指标。 # 检测与缓解建议（摘要） # 立即行动 - 立即修补易受攻击的软件（应用供应商修复程序和推荐版本）。 - 禁用或限制远程服务（例如 RDP），阻止对高风险端口的外部访问。 # 加固与策略 - 强制执行应用程序控制 并进行 DLL 签名验证，以缓解 DLL 劫持。 - 保留 Web 标记行为并将解压工具（7-Zip）更新至修复版本，以防止 MotW 绕过利用。 - 禁用不安全的 Java 功能（JNDI 查找）或将 Log4j 补丁至安全版本；使用 WAF 规则丢弃可疑 Payload。 # 检测 - 部署并调整 Snort/IDS 特征以检测观察到的利用指标（JNDI 字符串、异常 LDAP/RMI 流、RDP 利用模式、通过 HTTP 进行的异常文件访问）。使用 EDR 监控进程创建和 DLL 加载。 - 监控解压文件上缺失的 MotW 标记以及来自 Office 应用 的异常出站连接，以检测 OLE/RCE 利用。 # 长期措施 - 采用最小权限、网络分段、零信任，以及企业所用工具的软件供应链验证（例如，仅从官方来源下载 Sysinternals）。

标签：API接口, Beacon Object File, BlueKeep, CISA项目, CVE 复现, DAST, DLL 劫持, DNS 反向解析, DoS/DDoS, Go语言工具, HTTP工具, Log4Shell, SYN 洪水, Wireshark, XXE攻击, 云资产清单, 句柄查看, 大语言模型, 恶意软件分析, 插件系统, 攻击缓解, 漏洞分析, 漏洞利用 (PoC), 网络安全实验, 蓝队防守, 请求拦截, 路径探测, 路径遍历, 逆向工具, 逆向工程, 零点击漏洞