Ashu-Dhiman/pcap-detection-rules

# Snort 检测规则 – CVE-2025-55182 (React2Shell RCE) ## 📌 概述 本仓库包含一个自定义 Snort IDS 规则，旨在检测与 **CVE-2025-55182** 相关的利用尝试，这是 Node.js 应用程序中利用 `child_process` 模块的一个远程代码执行 (RCE) 漏洞。 该检测专注于识别试图使用 `/bin/sh` 生成 shell 的恶意 payload 模式。 - **CVE ID:** CVE-2025-55182 - **类型：** 远程代码执行 (RCE) - **受影响技术：** Node.js - **攻击向量：** 滥用 `child_process.spawn()` 导致 shell 执行 恶意模式示例： ``` require('child_process').spawn('/bin/sh') # ⚙️ 如何在 Snort 中添加规则 Linux default path: - /etc/snort/rules/local.rules Add the rules - sudo nano /etc/snort/rules/CVE-2025-55182.rules Add must include it inside snort.conf using: - /etc/snort/rules/react2shell.rules - include $RULE_PATH/CVE-2025-55182.rules # 测试配置 sudo snort -T -c /etc/snort/snort.conf # 运行 Snort sudo snort -A console -q -c /etc/snort/snort.conf -i eth0 ```

标签：child_process, CISA项目, CVE-2025-55182, IDS规则, Node.js安全, RCE, React2Shell, Red Team, Shell执行, 威胁情报, 开发者工具, 编程工具, 网络安全, 规则编写, 远程代码执行, 防御工程, 隐私保护