SOC342—CVE-2025-53770SharePointToolShell身份绕过与远程代码执行

admin
admin
admin
0
文章
0
评论
2026-01-17 01:38:48 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文详细分析了针对SharePoint服务器的CVE-2025-53770漏洞利用事件。攻击者通过未认证访问ToolPane.aspx实现身份绕过与远程代码执行,进而窃取MachineKey并植入WebShell,导致服务器完全沦陷。文档涵盖告警分析、流量特征、命令取证及MITREATT&CK映射,确认为真阳性攻击,建议立即隔离主机。 综合评分: 88 文章分类: 应急响应,漏洞分析,WEB安全,安全运营

cover_image

SOC342 — CVE-2025-53770 SharePoint ToolShell 身份绕过与远程代码执行

haidragon haidragon

安全狗的自我修养

2026年1月16日 10:10 湖南

官网:http://securitytech.cc/

告警名称: SOC342 — CVE-2025-53770 SharePoint ToolShell Auth Bypass and RCE 严重级别: Critical(严重) 事件 ID: 320 事件时间: 2025-07-22 13:07 分类: Web 攻击 / 远程代码执行

📋 Play Book

按 Enter 或点击查看大图

1️⃣ 告警概览(Alert Overview)

在 SharePoint01 上触发了一条严重 Web 攻击告警,原因是检测到一个未认证的 POST 请求访问 SharePoint 端点 ToolPane.aspx

该端点存在 CVE-2025-53770(ToolShell) 漏洞,这是一个零日漏洞,可让攻击者绕过认证并在本地 SharePoint 服务器上执行任意代码

该请求来自外部 IP 地址,且被安全设备放行,大大增加了被成功利用和系统沦陷的风险。

按 Enter 或点击查看大图

🚨 告警触发原因(Why This Alert Was Triggered)

SOC342 规则用于检测 ToolShell 对 SharePoint ToolPane.aspx 的利用行为。

触发原因包括:

  • 直接访问高权限 SharePoint Layout 端点
  • 未认证情况下使用 POST
  • 请求体过大(7699 字节),不符合正常行为
  • 伪造 Referer:/SignOut.aspx
  • 流量特征匹配已知 ToolShell 攻击技术

这些迹象强烈表明这是一次真实利用行为,而不是正常访问。

🌍 IP 信誉检查(IP Reputation Check)

源 IP:107.191.58.76

  • 外部公网 IP
  • 非内部基础设施
  • 用作攻击载荷托管服务器

目标 IP:172.16.20.17

  • 内部 SharePoint 服务器
  • 对外 HTTPS(443) 服务

没有任何合理业务理由允许该连接。

📅 计划活动验证(Planned Activity Verification)

  • 当时没有批准的渗透测试
  • 没有维护窗口
  • IP 不属于安全厂商
  • 行为不像正常管理操作

👉 结论:这是一次未授权攻击。

⚔ 攻击类型分类(Attack Type Classification)

  • 攻击类型:Web 应用攻击
  • 利用方式:身份绕过 → RCE
  • 向量:未认证 POST
  • 目标组件:ToolPane.aspx
  • 目的:初始访问、执行代码、建立持久化

这类攻击允许:

  • 执行系统命令
  • 投放 WebShell
  • 窃取 SharePoint 加密密钥

👤 用户与行为审查(User and Activity Review)

  • 非内部用户
  • 无合法会话
  • 不属于管理操作
  • 无维护计划

👉 确认为攻击流量。

🖥 系统分析(System Analysis)

发现系统执行了可疑命令,应立即隔离。

🔍 命令分析(Command Analysis)

发现 Base64 PowerShell:

该命令:

  • 隐藏窗口
  • 禁用 profile
  • 执行编码 payload

解码后:

  • 加载 System.Web
  • 读取 SharePoint MachineKey
  • 获取 ValidationKey / DecryptionKey

👉 拿到 MachineKey 可伪造 ViewState,长期控制系统。

"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /out:C:\Windows\Temp\payload.exe C:\Windows\Temp\payload.cs

该命令在受害机上编译攻击者 C# 程序,绕过杀软并生成专用木马。

👉 说明攻击者已完全执行代码。

cmd.exe /c echo <form runat=\"server\"> ... > ...\spinstall0.aspx

该命令:

  • 在 _layouts 下写入恶意 ASPX
  • 从外部下载 payload.exe
  • 建立 WebShell 持久化

👉 攻击者获得长期访问能力。

powershell.exe -Command&nbsp;"[System.Web.Configuration.MachineKeySection]::GetApplicationConfig()"

直接读取:

  • ValidationKey
  • DecryptionKey
  • 算法配置

👉 可伪造认证数据。

🧭 MITRE ATT&CK 映射

Initial Access

  • T1190 — 利用公网应用

Execution

  • T1059.001 — PowerShell

Persistence

  • T1505.003 — WebShell

Credential Access

  • T1552.004 — 应用配置

Defense Evasion

  • T1027 — Base64 混淆

📊 影响评估(Impact)

  • 身份绕过 ✅
  • RCE ✅
  • WebShell ✅
  • 服务器沦陷 ✅
  • 业务影响:高

👉 SharePoint 必须视为已失陷

🧾 取证要素(Artifacts)

文件

  • spinstall0.aspx
  • payload.exe
  • payload.cs

进程

  • powershell.exe
  • csc.exe
  • cmd.exe
  • w3wp.exe

网络

  • 107.191.58.76
  • http://107.191.58.76/payload.exe

应用

  • MachineKey
  • ToolPane.aspx

✅ 最终裁定(Final Verdict)

True Positive — 恶意攻击确认

该告警确认是 CVE-2025-53770 ToolShell 被成功利用,造成:

✅ 身份绕过 ✅ 远程代码执行 ✅ SharePoint 服务器完全沦陷

  • 公众号:安全狗的自我修养
  • vx:2207344074
  • http://gitee.com/haidragon
  • http://github.com/haidragon
  • bilibili:haidragonx

#

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全狗的自我修养 haidragon haidragon《SOC342 — CVE-2025-53770 SharePoint ToolShell 身份绕过与远程代码执行》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0