Fomovet/cve-2025-24071

GitHub: Fomovet/cve-2025-24071

该项目是 CVE-2025-24071 的 PoC，演示通过恶意 .library-ms 文件触发 Windows SMB 认证从而泄露 NTLM hash 的过程。

Stars: 0 | Forks: 0

# CVE-2025-24054 和 CVE-2025-24071 - 通过 .library-ms 漏洞利用泄露 NTLM Hash ![PoC](https://img.shields.io/badge/type-poc-blue) 此 PoC 演示了在未打补丁的 Windows 系统（2025 年 3 月补丁星期二）上，通过 `.library-ms` 文件泄露 NTLM hash 的漏洞利用过程。 ## 🧠 描述当在 Windows 资源管理器中打开（或预览）包含 UNC 路径的 `.library-ms` 文件时，它会向指定的服务器触发 SMB 身份验证请求，从而泄露 NTLMv2 hash。 ## 📁 文件 - `generate_library_ms.py` ：生成恶意 `.library-ms` 文件 - `xd.library-ms` ：示例恶意文件（指向可配置的 SMB 服务器） - `Instructions_Responder.md` ：如何使用 Responder 设置虚假 SMB 服务器 ## 🧪 如何测试 1. 在你的攻击机上启动 `Responder`： sudo responder -I eth0 2. 在受害者的 Windows 虚拟机上： - 下载或生成 `.library-ms` 文件 - 在文件资源管理器中预览它 3. 在攻击者端： - 在 Responder 的输出中观察捕获的 NTLM hash ## 📸 演示 ![PoC 演示](https://raw.githubusercontent.com/Fomovet/cve-2025-24071/main/Screenshots/poc-demo.png) ## 📚 参考 - [Check Point Research – CVE-2025-24054 分析](https://research.checkpoint.com/2025/cve-2025-24054-ntlm-exploit-in-the-wild/) - [Microsoft 补丁说明（2025 年 3 月）](https://borncity.com/win/2025/04/22/windows-ntlm-vulnerability-cve-2025-24054-is-being-exploited/) ## ✅ 缓解措施 - 应用 Microsoft 的 2025 年 3 月补丁 - 尽可能禁用 NTLM - 教育用户避免与来自不受信任来源的 `.library-ms` 文件进行交互 ## 🧑‍💻 作者 PoC 由 [Helidem](https://github.com/helidem) 创建

标签：Maven, NTLM, Python, 无后门, 漏洞验证, 逆向工具