Raisecomm RAX701-GC-WP-01 SSH认证绕过漏洞利用（CVE-2025-11534）

下载漏洞利用

点击此处下载

概述

本仓库包含针对CVE-2025-11534的完整功能概念验证（PoC）漏洞利用，目标为运行固件版本5.5.27_20190111或更早版本的Raisecomm RAX701-GC-WP-01设备。该漏洞允许远程攻击者完全绕过SSH认证，无需凭据、用户交互或权限即可获得无限制的root shell访问权限。

利用过程简单直接：设备的SSH守护进程（基于定制的Dropbear变体）暴露了一个未文档化的辅助通道（默认端口2222），该通道接受原始命令流而不强制执行PAM或基于密钥的身份验证检查。此替代路径可能原本用于内部诊断，但缺乏适当的访问控制。

CVSS v4.0评分：9.3（严重）

• 攻击向量： 网络
• 攻击复杂度： 低
• 所需权限： 无
• 用户交互： 无
• 机密性/完整性/可用性影响： 高

受影响环境包括电信网关和工业SCADA网络，其中被入侵可能导致流量拦截、配置转储或横向移动。

要求

• Python 3.8+
• paramiko库（pip install -r requirements.txt）
• 对目标设备的网络访问（默认SSH端口22和2222开放）

使用方法

1. 运行漏洞利用脚本：

   • -t：目标IP地址
   • -p：辅助端口（默认：2222）
   • -c：要执行的初始命令（可选；默认为交互式shell）
   • -v：详细输出

2. 对于交互式shell：省略-c参数以进入原始PTY会话。

示例输出

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

- python exploit.py -t 192.168.1.100
-[+] 连接到192.168.1.100:2222的辅助通道...
- [+] 认证绕过成功 - 无需凭据
- [+] 执行：whoami
- root
- [+] 执行：id
- uid=0(root) gid=0(root) groups=0(root)
- [+] 转储/etc/config/network...
- config interface 'lan'
- option ifname 'eth0'
- option proto 'static'
- option ipaddr '192.168.1.1'
- ...
- [+] Shell访问已授予。输入'exit'关闭。

技术细节

漏洞利用利用Paramiko在辅助端口上建立非标准SSH连接。关键步骤：

1. 通道初始化： 连接到端口2222，触发守护进程的调试模式而不触发认证钩子。
2. 负载注入： 发送带有空凭据的畸形SSH_MSG_USERAUTH_REQUEST数据包，利用替代处理程序中缺乏验证的漏洞。
3. Shell生成： 连接后，通过通道发出exec命令以进行任意执行。

易受攻击的Dropbear分支的完整反汇编可在analysis/目录中找到，包括关于auth-alt.c中绕过逻辑的IDA Pro注释。

文件

• exploit.py - 主漏洞利用脚本
• analysis/dropbear_auth_alt.patch - 易受攻击代码的差异对比
• poc_demo.mp4 - 实验室设置中漏洞利用的视频演练
• targets.txt - 示例扫描目标（已编辑）

联系方式

如有任何问题或咨询，请联系：harveyprime21@outlook.com