cybertechajju/CVE-2026-45156-POC

## 📖 背景故事 每一个 CVE 背后都有一个故事。这个漏洞是在一个寒冷冬夜的凌晨 2 点发现的，当时一直在循环播放着失恋混剪音乐。阅读完整的技术深度剖析、情感起伏以及学到的零信任（zero-trust）课程： 🔗 **[在此阅读完整的博客文章](#)** *(链接您的博客文章)* ## 🎯 漏洞概述 在处理从 ID4me 身份提供商接收到的 JWT token 时，Nextcloud 的 `user_oidc` 应用使用 `base64_decode()` 处理 token payload，而没有验证其加密签名。

🔥 点击查看漏洞代码 (Id4meController.php)

``` // Lines 248 - 252 [$header, $payload, $signature] = explode('.', $data['id_token']); $plainHeaders = json_decode(base64_decode($header), true); $plainPayload = json_decode(base64_decode($payload), true); /** TODO: VALIATE SIGNATURE! */ $user = $this->manager->getOrCreate($plainPayload['sub'], ...); ```

* **漏洞类型：** 加密签名验证不当 (CWE-347) * **攻击向量：** `alg: none` JWT 伪造 * **影响：** 完全绕过身份验证 ➡️ 接管 Admin 权限 ## 🚀 漏洞利用脚本 `nextcloud_id4me_poc.py` 是一个全自动化、武器化的漏洞利用框架。 ### ✨ 功能特性 - 🕵️‍♂️ **自动检测：** 提取 CSRF token 并检查 ID4me endpoint。 - 🎭 **Token 伪造器：** 动态生成恶意的 `alg: none` JWT token。 - 🖧 **本地 OIDC：** 快速启动一个伪造的 OIDC 授权服务器。 - 🚇 **Ngrok 隧道：** 通过 `pyngrok` 自动将伪造服务器暴露给目标。 - 💀 **故障艺术风横幅：** 因为美观也很重要。 ### ⚙️ 环境配置 ``` # 1. 安装 dependencies pip install requests pyngrok # 2. 添加您的免费 Ngrok auth token ngrok config add-authtoken ``` ### 💥 使用方法 ``` python nextcloud_id4me_poc.py [--user ] [--port ] ``` | 参数 | 描述 | 默认值 | | :--- | :--- | :--- | | `` | 存在漏洞的 Nextcloud 实例 | **必填** | | `--user` | 要冒充的用户名 | `admin` | | `--port` | 伪造 OIDC 服务器的本地端口 | `9999` | ### 🎬 示例运行 ``` python nextcloud_id4me_poc.py https://target.lab --user admin ``` *(您将看到一个故障艺术风的黑客横幅初始化，随后是自动化的漏洞利用流程以及最终的漏洞报告。)* ## 🔍 侦察探测 (Shodan Dorks) 要识别可能安装了 `user_oidc` 应用且存在漏洞的 Nextcloud 实例： ``` title:"Nextcloud" http.html:"user_oidc" title:"Nextcloud" http.html:"id4me" http.title:"Nextcloud" http.html:"/apps/user_oidc/" ``` *注意：安装了该应用并不自动意味着目标存在漏洞。* ## ⚠️ 法律免责声明 本脚本仅供安全研究人员和漏洞赏金猎人用于测试他们拥有明确授权审计的系统。严禁在未经授权的情况下，针对您不拥有或未获得明确书面许可的系统使用此工具，否则可能违反地方、州和联邦法律。 作者 (**CyberTechAjju**) 对任何滥用本程序或由此造成的损坏不承担任何责任。

“这不是我的 bug。这是他们的特性。”
保持学习，保持黑客精神。🌎💻

标签：JWT绕过, Nextcloud, PoC, 安全漏洞, 暴力破解, 逆向工具