深入分析:CVE-2025-53770 SharePoint身份验证绕过与RCE攻击调查
项目概述
这是对Let's Defend平台上一起基于近期SharePoint CVE(CVE-2025-53770)安全事件的深度调查分析。该调查聚焦于SharePoint ToolShell漏洞的利用过程,通过分析网络流量和端点日志,还原了攻击者如何利用该漏洞实现身份验证绕过和远程代码执行(RCE)。
调查揭示了一个外部攻击者(IP:107.191.58.76)通过精心构造的POST请求,针对内部SharePoint服务器(172.16.20.17)上易受攻击的ToolPane.aspx页面发起的攻击。攻击成功执行后,在目标系统上通过w3wp.exe进程运行了经过混淆的PowerShell命令,实现了信息收集和潜在的后渗透活动。
功能特性
- 流量分析能力:能够检测并分析针对SharePoint ToolPane.aspx页面的异常POST请求
- 攻击行为识别:识别身份验证绕过尝试,包括使用SignOut.aspx作为referer的隐蔽技术
- 进程监控:监测w3wp.exe进程执行PowerShell命令的异常行为
- 载荷分析:解析Base64编码的PowerShell命令,揭示攻击者的真实意图
- 配置信息提取:展示如何提取ASP.NET关键配置密钥进行安全评估
- 编译工具检测:监控csc.exe和cmd.exe等编译工具的可疑使用模式
安装与配置
环境要求
本调查分析基于以下环境组件:
- Let's Defend平台 - 安全分析训练平台
- SharePoint环境 - 包含易受攻击的ToolPane.aspx页面
- 日志收集系统 - 能够收集网络流量和端点日志
- 安全监控规则 - SOC342规则集用于检测异常行为
依赖组件
- 网络流量分析工具:用于检测异常的HTTP请求
- 端点检测与响应(EDR):监控进程执行行为
- Base64解码工具:用于分析混淆的PowerShell命令
- ASP.NET环境:包含待调查的配置信息
使用说明
基础调查流程
# 1. 识别规则触发
# SOC342规则检测到以下特征:
# - 未认证的POST请求
# - 针对ToolPane.aspx页面
# - 大载荷(Content-Length: 7699)
# - 可疑referer(SignOut.aspx)
# 2. 分析流量源和目标
# 外部IP: 107.191.58.76 → 内部SharePoint服务器: 172.16.20.17
# 3. 检查端点日志
# 发现w3wp.exe进程执行PowerShell命令
# 4. 解码和分析攻击载荷
# Base64编码的PowerShell命令
典型调查场景
-
初始检测阶段
- 监控SOC342规则触发
- 识别异常POST请求模式
- 分析referer字段的异常使用
-
攻击确认阶段
- 确认w3wp.exe执行PowerShell的行为
- 解码和分析Base64编码的命令
- 理解攻击者的信息收集意图
-
影响评估阶段
- 分析提取的ASP.NET配置信息
- 识别后续攻击行为(如编译payload.exe)
- 评估系统受损程度
核心代码分析
攻击流量特征分析代码
# SOC342规则检测逻辑分析
# 检测到以下特征的POST请求会被标记:
request_features = {
"authentication": "unauthenticated", # 未认证访问
"target_page": "ToolPane.aspx", # 目标页面
"payload_size": 7699, # 大载荷
"referer": "SignOut.aspx", # 可疑referer,用于混淆来源
"behavior": "ToolShell_vulnerability_exploitation" # 一致的行为模式
}
# 该检测逻辑能够识别利用ToolShell漏洞的特定攻击模式
# SignOut.aspx作为referer是一种常见的混淆技术,试图绕过安全检查
PowerShell载荷解码分析
# 攻击者使用的Base64编码PowerShell命令示例
# 解码后的命令执行以下操作:
# 1. 信息收集 - 提取ASP.NET关键配置
# 从运行机器上提取并打印关键的ASP.NET配置密钥
# 2. 编译攻击工具 - 创建持久化载荷
"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /out:C:\Windows\Temp\payload.exe C:\Windows\Temp\payload.cs
# 3. 执行命令 - 运行额外的攻击指令
"C:\Windows\System32\cmd.exe" /c echo <form runat=\"server\"> <object classid=\"clsid:ADB880A6-D8FF-11CF-9377-00AA003B7A11\"><param name...
# 攻击载荷分析要点:
# - 使用csc.exe编译C#代码创建可执行文件
# - 利用临时目录(C:\Windows\Temp\)存放攻击文件
# - 通过cmd.exe执行额外的攻击指令
# - 尝试利用ActiveX对象进行进一步攻击
端点行为监控代码
# 监测w3wp.exe进程异常行为的逻辑
# 在SharePoint环境中,需要区分正常行为和潜在攻击:
def analyze_w3wp_behavior(process_info):
"""
分析w3wp.exe进程行为的函数
参数:
process_info: 包含进程执行信息的字典
返回:
risk_level: 风险等级(low, medium, high)
evidence: 分析证据
"""
suspicious_indicators = {
"powerShell_execution": False, # 执行PowerShell命令
"base64_encoded": False, # 命令经过Base64编码
"temp_directory_use": False, # 使用临时目录
"compilation_activity": False, # 编译活动
"unusual_parent_process": False # 异常父进程
}
# 检查PowerShell执行
if "powershell" in process_info["command_line"].lower():
suspicious_indicators["powerShell_execution"] = True
# 检查Base64编码
if "-EncodedCommand" in process_info["command_line"]:
suspicious_indicators["base64_encoded"] = True
# 检查临时目录使用
if "\\temp\\" in process_info["command_line"].lower():
suspicious_indicators["temp_directory_use"] = True
# 检查编译活动
if "csc.exe" in process_info["command_line"]:
suspicious_indicators["compilation_activity"] = True
# 计算风险等级
risk_score = sum(suspicious_indicators.values())
if risk_score >= 3:
return "high", "Multiple suspicious indicators detected"
elif risk_score == 2:
return "medium", "Moderate risk indicators detected"
else:
return "low", "Normal or low risk activity"
# 该分析逻辑帮助安全团队快速识别SharePoint环境中的潜在攻击活动
# 特别是在CVE-2025-53770漏洞被利用的场景下
6HFtX5dABrKlqXeO5PUv/3F1p+H05CDVF7Eln3FxejTeu1qMf7mVAopqgB7vSUDimGpMKplgCdZuOUcM43W9CQ6vtQKNTPjzxHKDDX1SVkdpNgtn9XRn6mMDxgBUN3aL
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号