更新

2025-11-04 17:13:53 +00:00 · 2025-09-29 09:00:02 +08:00 · 2025-09-29 09:00:02 +08:00 · 85ac79a7d1
commit 85ac79a7d1
parent 87b5e37ec0
1 changed files with 166 additions and 0 deletions
--- a/results/2025-09-29.md
+++ b/results/2025-09-29.md
@ -182,3 +182,169 @@ CVE-2020-0610漏洞允许攻击者在未经身份验证的情况下远程执行
 </details>

 ---
+
+### CVE-2025-0411 - 7-Zip MotW 绕过漏洞 POC
+
+#### 📌 漏洞信息
+
+| 属性 | 详情 |
+|------|------|
+| CVE编号 | CVE-2025-0411 |
+| 风险等级 | `HIGH` |
+| 利用状态 | `POC可用` |
+| 发布时间 | 2025-09-28 00:00:00 |
+| 最后更新 | 2025-09-28 21:50:06 |
+
+#### 📦 相关仓库
+
+- [7-Zip-CVE-2025-0411-POC](https://github.com/dpextreme/7-Zip-CVE-2025-0411-POC)
+
+#### 💡 分析概述
+
+该仓库提供了 CVE-2025-0411 漏洞的 POC 场景，该漏洞允许绕过 7-Zip 的 Mark-of-the-Web (MotW) 保护机制。仓库包含 POC 场景，演示如何通过构造恶意压缩包绕过 MotW 保护，进而执行任意代码。仓库更新频繁，修复了链接错误，并改进了 README 文档，提供了关于漏洞利用、风险和缓解措施的详细信息。通过双重压缩可绕过安全警报，允许执行恶意文件。 攻击者可以通过诱使用户打开恶意文件来利用此漏洞，从而执行任意代码。
+
+#### 🔍 关键发现
+
+| 序号 | 发现内容 |
+|------|----------|
+| 1 | 7-Zip 的 MotW 绕过漏洞允许执行恶意代码。 |
+| 2 | POC 场景演示了双重压缩技术，绕过安全防护。 |
+| 3 | 用户需要打开恶意文件才能触发漏洞。 |
+| 4 | 受影响的版本是 7-Zip 24.09 之前的版本。 |
+| 5 | 漏洞利用需要用户交互，但危害性高。 |
+
+#### 🛠️ 技术细节
+
+> 漏洞原理：7-Zip 在处理存档文件时，未正确传播 MotW 标记，导致安全保护失效。
+
+> 利用方法：通过构造双重压缩的恶意 7-Zip 压缩包，欺骗系统绕过安全警告并执行恶意代码。
+
+> 修复方案：升级到 7-Zip 24.09 或更高版本，避免打开来自不可信来源的压缩文件。
+
+
+#### 🎯 受影响组件
+
+```
+• 7-Zip 软件，受影响版本为 24.09 之前的所有版本。
+```
+
+#### ⚡ 价值评估
+
+<details>
+<summary>展开查看详细评估</summary>
+
+该漏洞属于高危漏洞，允许攻击者绕过安全机制执行任意代码。虽然需要用户交互，但利用难度较低，且影响范围广泛。POC的发布也增加了漏洞被利用的风险。
+</details>
+
+---
+
+### CVE-2025-49144 - Notepad++ 本地提权漏洞分析
+
+#### 📌 漏洞信息
+
+| 属性 | 详情 |
+|------|------|
+| CVE编号 | CVE-2025-49144 |
+| 风险等级 | `HIGH` |
+| 利用状态 | `POC可用` |
+| 发布时间 | 2025-09-28 00:00:00 |
+| 最后更新 | 2025-09-28 20:10:12 |
+
+#### 📦 相关仓库
+
+- [CVE-2025-49144_PoC](https://github.com/ammarm0010/CVE-2025-49144_PoC)
+
+#### 💡 分析概述
+
+该GitHub仓库提供了CVE-2025-49144的PoC，该漏洞是Notepad++安装程序中的一个本地提权漏洞。该PoC通过伪造regsvr32.exe文件，利用Windows在执行程序时未指定完整路径的特性，最终实现权限提升。仓库整体star数为0，最近一次更新修改了README.md，更新了下载链接和相关项目，PoC提供了针对该漏洞的测试和探索。漏洞利用方式：攻击者将恶意regsvr32.exe放入与Notepad++安装程序相同的目录，当用户运行安装程序时，恶意文件会被优先执行，从而实现系统权限提升。
+
+#### 🔍 关键发现
+
+| 序号 | 发现内容 |
+|------|----------|
+| 1 | 漏洞利用未指定路径的regsvr32.exe进行提权。 |
+| 2 | 利用Windows安装程序的特性，结合恶意regsvr32.exe实现权限提升。 |
+| 3 | PoC提供，具备实际验证条件。 |
+| 4 | 攻击者需要在目标机器上放置恶意文件，降低了利用难度。 |
+| 5 | 受影响版本信息清晰，存在可利用空间。 |
+
+#### 🛠️ 技术细节
+
+> 漏洞成因：Notepad++安装程序在调用regsvr32.exe注册组件时，没有使用完整的路径，导致Windows在搜索可执行文件时，会优先选择当前目录下的regsvr32.exe。
+
+> 攻击步骤：攻击者构造恶意的regsvr32.exe，并将其放置在与Notepad++安装程序相同的目录。当用户运行安装程序时，恶意regsvr32.exe被执行，从而实现权限提升。
+
+> 缓解措施：用户应升级到Notepad++最新版本，限制软件安装权限，使用AppLocker等工具阻止从用户可写目录执行程序。
+
+
+#### 🎯 受影响组件
+
+```
+• Notepad++ (v8.8.1及之前版本) 的安装程序
+```
+
+#### ⚡ 价值评估
+
+<details>
+<summary>展开查看详细评估</summary>
+
+该漏洞涉及关键软件安装过程，PoC代码可用，危害级别高，虽然需要一定本地访问权限，但一旦成功，可导致系统权限被完全控制，具有较高的实战威胁价值。
+</details>
+
+---
+
+### CVE-2025-21333 - Windows vkrnlintvsp.sys 溢出
+
+#### 📌 漏洞信息
+
+| 属性 | 详情 |
+|------|------|
+| CVE编号 | CVE-2025-21333 |
+| 风险等级 | `CRITICAL` |
+| 利用状态 | `POC可用` |
+| 发布时间 | 2025-09-28 00:00:00 |
+| 最后更新 | 2025-09-28 22:53:39 |
+
+#### 📦 相关仓库
+
+- [CVE-2025-21333-POC](https://github.com/pradip022/CVE-2025-21333-POC)
+
+#### 💡 分析概述
+
+该项目提供了一个针对Windows系统vkrnlintvsp.sys驱动的堆溢出漏洞（CVE-2025-21333）的PoC。项目代码基于WNF状态数据和I/O环，通过控制IOP_MC_BUFFER_ENTRY结构实现内核任意地址读写。代码库包含编译好的可执行文件，以及详细的漏洞分析和利用方法说明。最新提交更新了README.md文件，主要是修改了下载链接和一些描述信息。该漏洞利用较为复杂，需要特定配置和环境才能成功利用，但一旦成功，可以获取system权限，对系统安全造成严重威胁。
+
+#### 🔍 关键发现
+
+| 序号 | 发现内容 |
+|------|----------|
+| 1 | 漏洞利用堆溢出，可以控制IOP_MC_BUFFER_ENTRY结构。 |
+| 2 | 通过构造恶意IOP_MC_BUFFER_ENTRY，实现内核任意地址读写。 |
+| 3 | 利用I/O环机制进行内核内存操作。 |
+| 4 | 需要Windows Sandbox环境才能运行PoC。 |
+
+#### 🛠️ 技术细节
+
+> 该PoC利用了vkrnlintvsp.sys驱动程序中的堆溢出漏洞。
+
+> 通过覆盖I/O环的Buffer Entry，获取任意读写权限。
+
+> 通过控制 WNF 状态数据触发漏洞。
+
+> PoC代码包括漏洞触发和权限提升两个部分。
+
+
+#### 🎯 受影响组件
+
+```
+• vkrnlintvsp.sys (Windows 系统驱动程序)
+```
+
+#### ⚡ 价值评估
+
+<details>
+<summary>展开查看详细评估</summary>
+
+该漏洞允许攻击者在内核模式下执行任意代码，实现权限提升，从而完全控制受害系统。虽然利用难度较高，但其潜在危害巨大。
+</details>
+
+---