CVE-2025-23167 – Node.js HTTP请求走私漏洞利用
针对CVE-2025-23167的有效漏洞利用,这是一个影响Node.js 20.x版本(低于v20.19.2)的请求走私漏洞。该漏洞允许不当的HTTP头部终止,使攻击者能够绕过基于代理的访问控制。
文件
- exploit.py – 基于Python3的漏洞利用脚本
- lab.js – 用于模拟漏洞环境的简易Node.js服务器
使用方法
漏洞利用
运行利用脚本:
- 执行
python3 exploit.py <目标域名或IP> <端口>
示例输入与输出
实验环境搭建
设置测试环境:
- 确保使用Node.js v20.19.1或更低版本
- 安装express(
npm install express) - 运行
node lab.js启动服务器 - 服务器将在http://localhost:8989(或您选择的端口)可用
