IyarGross/SMB-CVE-2025-33073

# SMB-CVE-2025-33073 高级 SMB 蜜罐：CVE-2025-33073 研究与实现 # 高级 SMB 蜜罐：CVE-2025-33073 研究与取证 ## 📌 项目概述 本项目展示了一个高交互蜜罐环境，旨在研究、检测和分析针对 SMB (Server Message Block) 协议的漏洞利用尝试。具体而言，该研究侧重于 **CVE-2025-33073**，深入探讨了 NTLM 反射和中继漏洞。 该系统部署在面向公网的 VPS 上，用于模拟易受攻击的企业文件服务器，从而吸引现实世界中的攻击者并实时捕捉其技术手段。 ## 🚀 主要特性 * **高交互 SMB 诱饵：** 一个功能完备的基于 Samba 的服务器，专门定制为看起来像高价值目标。 * **动态蜜罐文件：** 自动化的 Python 脚本 (`honey.py`)，在连接时生成诱人的文件（例如 `Passwords.txt`, `Payroll.xlsx`）以引诱攻击者。 * **综合取证套件：** * **持续流量捕获：** 使用 `tshark` (Wireshark) 进行实时数据包检查。 * **高级日志记录：** 跟踪时间戳、会话持续时间和文件访问模式。 * **漏洞研究：** 深入分析 NTLM 认证中继机制。 ## 📁 仓库内容 本仓库包含以下主要资源，以帮助您理解该研究并复现该环境： 1. **[cve.pdf]**: 一份详尽的指南，解释了 CVE-2025-33073 漏洞的原理、其影响，以及在 VPS 上设置蜜罐的详细逐步操作演示。 2. **Advanced SMB Honeypot.docx**: 一份正式的研究文档，总结了项目的发现、分析的攻击模式以及监控期间收集的取证数据。 ## 🛠 基础设施与设置 蜜罐战略性地部署在一台位于德国的 VPS 上，以最大限度地提高对全球扫描机器人和攻击者的可见性。设置包括： * **操作系统 (OS)：** 基于 Linux 的服务器。 * **服务：** 经过修改的 Samba 服务。 * **隔离：** 蜜罐逻辑与主机系统隔离，以防止横向移动或服务器失陷。 ## 🔍 取证监控 监控系统旨在为每一次交互提供 360 度的可见性： * **网络层：** 每个数据包都通过 Wireshark 记录，以便进行事后剖析。 * **应用层：** SMB 日志提供了关于攻击者试图读取、写入或执行的内容的洞察。 * **情报层：** IP 到地理位置的映射允许识别流量来源，并将其与已知的恶意僵尸网络进行关联。

标签：0day研究, BOF, CIDR输入, CVE-2025-33073, EDR绕过, HTTP工具, IP 地址批量处理, minikerberos, NTLM反射, PFX证书, Python, Samba, SMB, Tshark, VPS部署, Wireshark, 句柄查看, 威胁情报, 开发者工具, 情报收集, 攻击检测, 数字取证, 文件服务器模拟, 无后门, 欺骗防御, 漏洞研究, 网络安全, 自动化脚本, 蜜罐, 证书利用, 诱捕技术, 软件分析, 逆向工具, 错误配置检测, 隐私保护, 高交互蜜罐