项目标题与描述
SharePoint CVE-2025-53770漏洞扫描器
这是一个针对CVE-2025-53770漏洞的综合安全扫描器,旨在识别易受攻击的SharePoint实例。该漏洞涉及SharePoint的ExcelDataSet组件中的反序列化问题,可导致远程代码执行和机器密钥提取。
本扫描器整合了在主动攻击活动中观察到的真实攻击模式,并基于机器密钥提取、辅助载荷部署和SharePoint组件处理指标提供详细的置信度评分。
- 漏洞类型:远程代码执行(RCE)
- CVSS评分:9.8(严重)
- 影响组件:Microsoft SharePoint Server(本地部署)
- 根本原因:使用窃取的ASP.NET
machineKey(ValidationKey和DecryptionKey)对ViewState数据进行不安全反序列化。 - 利用特点:无需身份验证。
- 披露状态:已在野外被积极利用。
- 披露日期:2025年7月19日
功能特性
- 自动化检测:对目标SharePoint端点进行自动化漏洞检测,判断是否存在CVE-2025-53770漏洞。
- 置信度评分:提供从“none”到“high”的漏洞检测置信度评分,帮助用户评估风险。
- 漏洞指标分析:识别并列出具体的漏洞指标,如特定的响应特征或错误信息。
- 多线程扫描:利用
ThreadPoolExecutor实现并发扫描,提升大规模目标检测效率。 - 结果持久化:支持将扫描结果以JSON和CSV格式导出,便于进一步分析和报告。
- 请求重试机制:集成了请求重试逻辑,以应对不稳定的网络环境。
- 详细结果记录:捕获扫描时间、响应状态码、响应时间、响应大小、SSL信息、SharePoint版本提示等详细信息。
- 技术细节整合:工具设计参考了实际攻击链,包括初始入侵(如上传
.aspx文件)和持久化(利用machineKey生成恶意ViewState载荷)的技术细节。
安装指南
系统要求
- Python版本:Python 3.6 或更高版本。
- 操作系统:支持Windows、Linux和macOS。
依赖安装
项目依赖于 requests 库进行HTTP通信。
- 克隆或下载项目代码。
- 建议使用虚拟环境。
- 使用pip安装所需依赖:
pip install requests
注意事项
- 该工具用于授权的安全测试和教育目的。
- 在某些环境下可能需要配置SSL/TLS证书验证(例如,使用自签名证书的测试环境)。
使用说明
基础使用
以下是一个核心扫描结果数据结构的示例,展示了工具输出的关键信息:
from dataclasses import dataclass, asdict
from typing import Dict, List, Optional, Any
@dataclass
class ScanResult:
"""扫描结果数据类"""
host: str # 目标主机
url: str # 目标完整URL
scan_time: str # 扫描时间
vulnerable: bool = False # 是否易受攻击
status_code: Optional[int] = None # HTTP状态码
response_size: int = 0 # 响应大小
error: Optional[str] = None # 错误信息
response_time: Optional[float] = None # 响应时间
detection_confidence: str = "none" # 检测置信度
confidence_score: int = 0 # 置信度分数
vulnerability_indicators: List[str] = None # 漏洞指标列表
sharepoint_version_hint: str = "Unknown" # SharePoint版本提示
endpoint_tested: str = "" # 已测试的端点
def __post_init__(self):
# 初始化列表
if self.vulnerability_indicators is None:
self.vulnerability_indicators = []
# 示例:创建一个扫描结果对象
result = ScanResult(
host="sharepoint.company.com",
url="https://sharepoint.company.com/_layouts/15/ToolPane.aspx",
scan_time="2024-01-11T10:30:00",
vulnerable=True,
status_code=200,
detection_confidence="high",
confidence_score=85,
vulnerability_indicators=["Specific error pattern in response", "Machine key leakage signature"],
sharepoint_version_hint="SharePoint 2019"
)
# 将结果转换为字典以便于序列化(如JSON)
result_dict = asdict(result)
典型使用场景
- 安全评估:安全团队在渗透测试或红队演练中,用于快速识别环境中是否存在此特定高危漏洞。
- 漏洞验证:在收到漏洞情报或告警后,管理员使用此工具验证其SharePoint服务器是否受该CVE影响。
- 资产盘点与监控:持续扫描组织内部的SharePoint服务器资产,监控其安全状态。
- 事件响应:在疑似安全事件发生后,用于排查攻击者是否利用了此漏洞作为入侵途径。
API概览
工具的核心类ScanResult定义了一次扫描的完整结果输出结构。主要的分析逻辑(未在提供的代码片段中完全展示)预期会涉及:
- 构造特定的HTTP请求(参考提供的
ToolPane.aspx的POST请求示例)。 - 分析服务器响应,提取漏洞特征。
- 根据分析结果填充
ScanResult实例的各个字段。
核心代码
1. 扫描结果数据结构
此代码定义了扫描工具输出结果的标准化结构。
from dataclasses import dataclass, asdict
from typing import Dict, List, Optional, Any
from datetime import datetime
@dataclass
class ScanResult:
"""
扫描结果数据类。
用于标准化和存储针对单个目标扫描的所有相关信息。
"""
host: str
"""目标主机名或IP地址。"""
url: str
"""用于测试漏洞的完整URL。"""
scan_time: str
"""扫描执行的时间戳(ISO格式字符串)。"""
vulnerable: bool = False
"""目标是否被判定为易受CVE-2025-53770攻击。"""
status_code: Optional[int] = None
"""HTTP请求的响应状态码。"""
response_size: int = 0
"""HTTP响应体的字节大小。"""
error: Optional[str] = None
"""扫描过程中发生的任何错误信息。"""
response_time: Optional[float] = None
"""从发送请求到接收响应所花费的时间(秒)。"""
detection_confidence: str = "none"
"""
漏洞检测的置信度等级。
可能的值包括:'none', 'low', 'medium', 'high'。
"""
confidence_score: int = 0
"""基于检测指标的数值型置信度分数(0-100)。"""
vulnerability_indicators: List[str] = None
"""指向存在漏洞的具体字符串或模式列表。"""
sharepoint_version_hint: str = "Unknown"
"""根据响应头或内容推断的SharePoint版本信息。"""
endpoint_tested: str = ""
"""被测试的特定SharePoint端点路径。"""
def __post_init__(self):
"""数据类初始化后处理。确保列表类型属性被正确初始化。"""
if self.vulnerability_indicators is None:
self.vulnerability_indicators = []
def to_dict(self) -> Dict[str, Any]:
"""将ScanResult实例转换为字典,便于JSON序列化。"""
return asdict(self)
def to_json(self) -> str:
"""将ScanResult实例转换为JSON格式字符串。"""
import json
return json.dumps(self.to_dict(), indent=2)
2. 漏洞利用载荷示例(技术细节)
此代码片段展示了攻击者在利用CVE-2025-53770时可能发送的HTTP POST请求载荷,揭示了漏洞利用的机制。
"""
CVE-2025-53770 漏洞利用示例载荷。
此HTTP请求展示了攻击者如何通过ToolPane.aspx端点发送恶意ViewState数据。
"""
EXPLOIT_PAYLOAD_TEMPLATE = """POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx HTTP/1.1
Host: {target_host}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Content-Length: {content_length}
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Referer: /_layouts/SignOut.aspx
Connection: close
MSOTlPn_Uri=http%3A%2F%2F{target_host}%2F_controltemplates%2F15%2FAclEditor.ascx&MSOTlPn_DWP=%0A++++%3C%25%40+Register+Tagprefix%3D%22Scorecard%22+Namespace%3D%22Microsoft.PerformancePoint.Scorecards%22+Assembly%3D%22Microsoft.Performa...
"""
# 注意:实际载荷包含经过编码的ASP.NET控件注册和序列化数据,
# 旨在触发SharePoint中不安全的反序列化过程,从而执行任意代码。
3. 工具主模块概览
此代码展示了扫描器的主程序结构和初始配置。
#!/usr/bin/env python3
"""
CVE-2025-53770 SharePoint Vulnerability Scanner.
一个综合安全扫描器,旨在识别易受CVE-2025-53770漏洞影响的SharePoint实例。
该漏洞涉及SharePoint的ExcelDataSet组件中的反序列化漏洞,可导致远程代码执行和机器密钥提取。
此扫描器整合了在主动攻击活动中观察到的真实攻击模式,并基于机器密钥提取、辅助载荷部署和SharePoint组件处理指标提供详细的置信度评分。
作者:qife
"""
import json
import csv
import ssl
import socket
import re
import time
import random
import logging
import hashlib
import asyncio
from datetime import datetime, timedelta
from concurrent.futures import ThreadPoolExecutor, as_completed
from urllib.parse import urlparse
from pathlib import Path
from typing import Dict, List, Optional, Union, Any, Tuple
from dataclasses import dataclass, asdict
from contextlib import contextmanager, suppress
import threading
import warnings
import requests
from requests.adapters import HTTPAdapter
from urllib3.util.retry import Retry
import urllib3
# 配置日志记录,便于调试和运行监控
logging.basicConfig(
level=logging.INFO,
format='%(asctime)s - %(levelname)s - %(message)s'
)
logger = logging.getLogger(__name__)
# 全局配置变量
MAX_WORKERS = 10 # 并发扫描的最大线程数
REQUEST_TIMEOUT = 15 # 单个HTTP请求超时时间(秒)
RETRY_ATTEMPTS = 2 # 失败请求的重试次数
# 注意:此处省略了具体的扫描逻辑函数(如`scan_target`,`analyze_response`等)和主函数`main`。
# 这些函数将负责发送请求、分析响应、填充ScanResult对象以及管理扫描流程。
6HFtX5dABrKlqXeO5PUv/ydjQZDJ7Ct83xG1NG8fcAM9HTWpyTGMocw30FJ7driO
