文章总结： 本文记录了对GitHub上虚假CVE-2021-21980漏洞扫描器项目的追溯过程，发现其README描述的SSRF/XSS功能与官方漏洞公告不符，下载的exe文件经微步/Virustotal检测为恶意软件，并关联到LockBit3.0勒索软件和MuddyWater组织的恶意IP。作者建议用户避免直接使用打包exe，优先通过云沙箱检测外联行为。 综合评分： 82 文章分类： 恶意软件,威胁情报,漏洞分析,安全工具,应急响应

记一次 Fake-POC 投毒项目的追溯

蚁景网安

2026年4月27日 16:48 湖南

在小说阅读器读本章

去阅读

以下文章来源于潇湘信安 ，作者天明

潇湘信安 .

一个不会编程、挖SRC、代码审计的安全爱好者，主要分享一些安全经验、渗透思路、奇淫技巧与知识总结。

0x01 前言

之前某一次写关于Vcenter漏洞文章的时候，了解了一个比较冷门的漏洞，CVE-2021-21980：VMware vCenter Server文件读取漏洞。

先是在nuclei-templates里面搜了一下，没找到有模版，就在github中搜了一下漏洞编号，找到了今天的主角：Osyanina/westone-CVE-2021-21980-scanner

https://github.com/Osyanina/westone-CVE-2021-21980-scanner

0x02 追溯过程

2.1、about和README信息分析

从项目的about信息来看，这是一个检测CVE-2021-21980漏洞的扫描器，这里没什么问题。

从项目的README信息来看，这个漏洞是VMware VCenter 及更早版本的未授权文件读取、SSRF和XSS漏洞。这里就很有问题了，从公开的360cert信息来看，CVE-2021-21980是一个文件读取漏洞，并不涉及SSRF和XSS。

具体链接：

https://cert.360.cn/warning/detail?id=4d4d73e332ff08a42571f8cc7d6aa770

再说回这个README描述的漏洞信息，很明显是VMware vCenter – Server-Side Request Forgery/Local File Inclusion/Cross-Site Scripting。此处的漏洞名称参考nuclei-templates的信息。

在nuclei的poc中有一个referer的链接。

https://github.com/l0ggg/VMware_vCenter，访问后正是该漏洞的详情，里面包含了漏洞的测试截图和POC：

到这里其实已经真相大白了，这个POC是一个假的POC，大概率是后门。

2.2、关于扫描exe的分析

下载可执行程序的exe，计算sha1值。

mimikatz@mimikatzdeMBP Downloads % shasum -a 1 CVE-2021-21980.exe2ee2cdf0c6331e5422ec5fda9d8403686ca239e4  CVE-2021-21980.exe

virustotal查杀结果：10/71

微步在线查杀结果：3/25

网络外联情况：

微步：

virustotal：

13.107.4.52192.229.211.10820.49.157.620.99.184.3720.99.186.24623.216.147.6723.216.147.7695.101.143.1095.101.143.24

关注的时间重点放在2023年5月29日。

2.3、关于IP地址的追踪

2.3.1、13.107.4.52 – lockbit 3.0

在微步里面查询这个IP，有323个通信样本，老带恶人了。查看安全博客相关，发现了一篇与LockBit 3.0的勒索案例研究相关的文章提到了该IP地址。

查看文章发现在分析LockBit 3.0的时候发现该IP地址与勒索使用的Resume5.exe有网络连接的情况。

https://x.threatbook.com/v5/article?threatInfoID=41875

原文章：

https://blog.criminalip.io/2022/09/23/lockbit-3-0-ransomware/

时间是在2022年9月11日，而发现的时间是在2023年5月29日。这说明这玩意儿确实可能是LockBit 3.0的一个投毒的基础设施。

2.3.2、192.229.211.108-恶意

样本时间有2023年4月的，实锤属于恶意基础设施：

2.3.3、20.49.157.6

2.3.4、20.99.184.37-恶意

恶意基础设施+1：

2.3.5、20.99.186.246-恶意

2.3.6、23.216.147.67

2.3.7、23.216.147.76-MuddyWater组织

https://www.secrss.com/articles/51028

2.3.8、95.101.143.10

2.3.9、95.101.143.24-恶意

恶意样本通讯：

2.4、github账户追溯

类似案例：

从他的项目里面还发现了一个中文项目，判断应该是国人。

0x03 总结

从微步在线和virustotal的检测数据以及其他溯源博客等多个层面来看，该项目确实为投毒项目。希望大家能保护好自己吧，用项目之前尽量不使用打包成exe的项目，如要使用，建议virustotal和微步云沙箱中跑跑看，无外联后再做打算。

学习网安实战技术，戳“阅读原文”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：蚁景网安 《记一次 Fake-POC 投毒项目的追溯》