TheMursalin/CVE-2025-32432

GitHub: TheMursalin/CVE-2025-32432

针对 Craft CMS 认证前远程代码执行漏洞（CVE-2025-32432）的自动化利用工具。

Stars: 0 | Forks: 0

# 🔐 CVE-2025-32432 — Craft CMS 认证前 RCE

![CVE](https://img.shields.io/badge/CVE-2025--32432-critical?style=for-the-badge&color=CC0000) ![Severity](https://img.shields.io/badge/Severity-CRITICAL-red?style=for-the-badge) ![Python](https://img.shields.io/badge/Python-3.7+-blue?style=for-the-badge&logo=python&logoColor=white) ![License](https://img.shields.io/badge/License-MIT-green?style=for-the-badge) ![Auth](https://img.shields.io/badge/Auth-None%20Required-orange?style=for-the-badge) **Craft CMS 认证前远程代码执行** *由 [Mohammed Idrees Banyamer](https://github.com/TheMursalin) 发现与开发*

## 📌 概述 ## 🎯 受影响版本 | 分支 | 受影响版本至 | |--------|-----------------| | Craft CMS 3.x | `≤ 3.9.14` | | Craft CMS 4.x | `≤ 4.14.14` | | Craft CMS 5.x | `≤ 5.6.16` | ## 🧠 漏洞详情该漏洞源于 `assets/generate-transform` 端点中**两个独立弱点**的链接利用： ### 1️⃣ 未净化的 Session 数据存储旧版路由行为将原始查询参数直接写入位于 `/tmp/sess_` 的 PHP session 文件中，未经过任何净化或过滤。 ### 2️⃣ 不安全的反序列化 Yii 反序列化利用链（`FieldLayoutBehavior` → `PhpManager`）允许攻击者强制包含任意文件——在本例中为被注入的 session 文件。 **综合影响：** 完全控制服务器、数据窃取、横向移动等。 ## ⚙️ 环境要求 - **Python 3.7+** - `requests` - `urllib3` ``` # 通过 requirements file 安装 pip install -r requirements.txt # 或直接安装 pip install requests urllib3 ``` ## 🚀 用法 ``` python exploit.py -u -c "" [options] ``` ### 参数 | 标志 | 描述 | 默认值 | |------|-------------|---------| | `-u`, `--url` | **必填。** 目标基础 URL（例如 `https://example.com`） | — | | `-c`, `--cmd` | **必填。** 要执行的系统命令（例如 `id`、`whoami`） | — | | `-a`, `--asset` | 已知的有效 Asset ID（可显著加快利用速度） | None | | `--scan-max` | 未提供 ID 时暴力破解的最大 Asset ID | `300` | | `-t`, `--timeout` | 请求超时时间（秒） | `15` | | `-v`, `--verbose` | 启用详细/调试输出 | Off | ### 示例 ``` # Auto-exploit — 自动爆破 Asset ID python exploit.py -u https://craft.example.com -c "id" # 使用已知的 Asset ID — 更可靠且更快速 python exploit.py -u https://craft.example.com -c "cat /etc/passwd" -a 42 # 自定义 timeout + 详细输出 python exploit.py -u https://craft.example.com -c "uname -a" -t 10 -v ``` ## 🔬 工作原理 ``` Step 1 ──► Session Establishment Fetch homepage → obtain PHPSESSID cookie Step 2 ──► Asset ID Resolution Provided via -a flag OR brute-forced (non-404 detection) Step 3 ──► Session Poisoning Malicious GET request → raw PHP injected into /tmp/sess_ Step 4 ──► RCE Trigger Crafted deserialisation payload → PhpManager includes session file → PHP executes → system command runs → output returned ``` ## 📋 依赖文件 **`requirements.txt`** ``` requests>=2.31.0 urllib3>=2.0 ``` ## ⚖️ 免责声明 ## 👤 致谢 | 角色 | 详情 | |------|---------| | 🔍 CVE 发现与原始利用 | Mohammed Idrees Banyamer | | 🐙 GitHub | [@TheMursalin](https://github.com/TheMursalin) | | 🤝 代码改进 | 欢迎社区贡献 | ## 📄 许可证本项目基于 **MIT 许可证** 发布——有关完整详细信息，请参阅 [LICENSE](LICENSE) 文件。

_{为安全研究社区用 ❤️ 构建——请负责任地使用。}

标签：AMSI绕过, CISA项目, Craft CMS, CVE-2025-32432, EXP, PHP反序列化, PoC, RCE, SSRF, Web安全, 不安全反序列化, 会话注入, 威胁检测, 威胁模拟, 数据展示, 文件包含, 暴力破解, 漏洞分析, 红队, 编程工具, 网络安全, 蓝队分析, 路径探测, 远程代码执行, 远程攻击, 逆向工具, 隐私保护, 预认证, 高危漏洞