Microsoft Virtual Hard Disk (VHDX) 11 - 远程代码执行(RCE) CVE-2025-49683

概述

这个PowerShell脚本(vdh.ps1)演示了Windows虚拟硬盘(VHDX)处理中的一个软损坏漏洞，涉及CVE-2025-49683。

脚本执行以下操作：

• 创建一个10MB大小的动态VHDX文件(虚拟磁盘)
• 将VHDX挂载为系统新驱动器
• 初始化、分区并用NTFS格式化虚拟磁盘
• 卸载VHDX并在文件8KB偏移处应用软字节级损坏
• 重新挂载损坏的VHDX观察潜在的文件系统或挂载错误
• 列出损坏卷内容以显示影响
• 在挂载卷内创建立即重启批处理脚本(your-salaries.bat)
• 提供卸载和删除损坏VHDX文件的清理选项

目的

这个PoC专为安全研究人员和渗透测试人员设计：

• 理解轻微VHDX文件损坏如何导致系统不稳定或漏洞利用
• 演示CVE-2025-49683如何影响VHDX挂载和使用
• 帮助开发针对此类虚拟磁盘损坏攻击的检测和缓解策略

使用说明

1. 在提升的PowerShell会话中运行脚本(以管理员身份运行 - 已授权的恶意用户)：

   1

   .\vdh.ps1

2. 脚本将：

   • 创建、挂载并格式化新的VHDX文件
   • 在字节级别损坏文件
   • 重新挂载并尝试读取卷
   • 在挂载驱动器中创建your-salaries.bat批处理文件

3. 要触发立即重启，导航到挂载驱动器(如D:)并运行：

   1	your-salaries.bat

4. 脚本结束时，按0清理(卸载并删除损坏的VHDX)，或按其他键退出并保留文件供进一步分析。

重要警告与注意事项

• 仅在测试或隔离环境中运行
• 立即重启批处理文件会无警告强制重启系统
• 损坏是模拟且微妙的(8KB偏移处)
• 影响因操作系统版本和环境而异
• 需要管理员权限

技术细节

• 损坏偏移：VHDX文件中8192字节(8KB)处
• 损坏模式：[0x00, 0xFF, 0x00, 0xFF, 0xDE, 0xAD, 0xBE, 0xEF]字节序列
• 磁盘初始化：MBR分区样式，单个NTFS分区
• 重启命令：shutdown /r /t 0 /f强制立即重启

示例输出

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

[*] 正在检查现有VHDX文件以避免冲突...
[*] 创建新的VHDX(虚拟硬盘)文件...
    大小: 10 MB
    路径: C:\Users\MicrosoftLoosers\Desktop\CVE-2025-49683\corrupted_test.vhdx
[*] 正在挂载新的VHDX...
[*] 磁盘已初始化为NTFS格式
[*] 驱动器挂载为E:
[*] 正在卸载VHDX以应用损坏...
[*] 通过在8KB偏移处修改字节模拟损坏...
[+] 损坏应用成功
[*] 重新挂载损坏的VHDX观察效果...
[*] 创建立即重启批处理脚本: your-salaries.bat

许可证与免责声明

本脚本仅用于教育和研究目的。作者和分发者对任何滥用造成的损害不承担责任。

参考

CVE-2025-49683

源代码