GarethMSheldon/CVE-2025-60787-Detection-motionEye-RCE-via-Config-Injection

GitHub: GarethMSheldon/CVE-2025-60787-Detection-motionEye-RCE-via-Config-Injection

针对 motionEye 配置注入 RCE 漏洞 CVE-2025-60787 的多维度检测规则集,提供 YARA 和 KQL 两种格式,覆盖从 Web 请求到进程执行再到文件创建的完整攻击链。

Stars: 0 | Forks: 0

# 自述文件 # CVE-2025-60787 检测:motionEye 配置注入 RCE [![EDB-ID: 52481](https://img.shields.io/badge/EDB--ID-52481-blue)](https://www.exploit-db.com/exploits/52481) [![CVE: 2025-60787](https://img.shields.io/badge/CVE-2025--60787-red)](https://nvd.nist.gov/vuln/detail/CVE-2025-60787) ## 漏洞概述 本仓库包含针对 **CVE-2025-60787** 的检测规则,这是 motionEye 中的一个未认证 RCE 漏洞。 ### 利用方式 Payload 注入位置: * Settings -> Still Images -> Image File Name 示例 PoC payload: ``` $(touch /tmp/test).%Y-%m-%d-%H-%M-%S ``` 当 motion 重启时,shell 命令将执行并创建 `/tmp/test`。 ## 检测覆盖范围 | ID | 检测名称 | 描述 | |----|-----------------------|-------------------------------------------------------| | 01 | Web 请求检测 | 识别 JS 绕过尝试和 shell payload | | 02 | 进程执行 | 检测 motion 生成的 shell 进程 | | 03 | 文件创建 | 检测 /tmp 中的可疑文件 | | 04 | Docker/Syslog | 监控容器活动 | | 05 | 威胁狩猎 | 检测配置篡改 | ## YARA 检测 扫描 motionEye 配置目录: ``` yara -r rules/yara/motioneye_rce_cve_2025_60787.yar /etc/motioneye/ ``` ## KQL 检测 (Microsoft Sentinel / Defender) 包含的查询: * 01_web_request_js_bypass_and_shell_payload.kql * 02_process_execution_shell_spawned_by_motion.kql * 03_file_creation_tmp_by_motion_process.kql * 04_docker_exec_and_syslog_motioneye.kql * 05_threat_hunting_motioneye_config_file_changes.kql ## 测试 启动易受攻击的容器: ``` docker run -d --name motioneye -p 9999:8765 ghcr.io/motioneye-project/motioneye:edge ``` 验证版本: ``` docker logs motioneye | grep "motionEye server" ``` 访问 Web UI: ``` http://127.0.0.1:9999 ``` 登录: ``` admin (blank password) ``` ## 仓库结构 ``` cve-2025-60787-detection/ ├── README.md ├── LICENSE ├── .gitignore ├── rules/ │ ├── yara/ │ │ └── motioneye_rce_cve_2025_60787.yar │ └── kql/ │ ├── 01_web_request_js_bypass_and_shell_payload.kql │ ├── 02_process_execution_shell_spawned_by_motion.kql │ ├── 03_file_creation_tmp_by_motion_process.kql │ ├── 04_docker_exec_and_syslog_motioneye.kql │ └── 05_threat_hunting_motioneye_config_file_changes.kql └── docs/ └── iocs.md ``` ## 参考 * Exploit-DB ID: 52481 * CVE-2025-60787 * motionEye 项目 ## 贡献者 | 角色 | 作者 | |------------------------------------|----------------------------| | 漏洞发现 & PoC | prabhatverma47 | | 检测工程 | 安全研究社区| ## 许可证 MIT License - 请参阅 LICENSE 文件。
标签:CISA项目, CVE-2025-60787, DNS 解析, Docker安全, EDB-ID: 52481, IoT安全, KQL, Microsoft Sentinel, motionEye, PoC, RCE, YARA, 云资产可视化, 命令注入, 暴力破解, 编程工具, 网络信息收集, 网络安全, 视频监控, 请求拦截, 远程代码执行, 配置注入, 隐私保护