Microsoft Virtual Hard Disk (VHDX) 11 - 远程代码执行（RCE） - Windows本地漏洞利用

概述

此PowerShell脚本（vdh.ps1）演示了Windows Virtual Hard Disk (VHDX)处理中的一个软损坏漏洞，涉及CVE-2025-49683。

脚本执行以下操作：

• 创建一个新的10MB动态VHDX文件（虚拟磁盘）。
• 将VHDX挂载为系统中的一个新驱动器。
• 初始化、分区并使用NTFS格式化虚拟磁盘。
• 卸载VHDX并在VHDX文件内的8 KB偏移处应用软字节级损坏。
• 重新挂载损坏的VHDX以观察潜在的文件系统或挂载错误。
• 列出损坏卷的内容以显示影响。
• 在挂载的卷内创建一个立即重启批处理脚本（your-salaries.bat），该脚本在执行时强制系统重启。
• 提供清理选项以卸载和删除损坏的VHDX文件。

目的

此PoC旨在供安全研究人员和渗透测试人员使用，以：

• 了解轻微的VHDX文件损坏如何导致系统不稳定或漏洞利用。
• 演示CVE-2025-49683如何影响VHDX挂载和使用。
• 帮助开发针对此类虚拟磁盘损坏攻击的检测和缓解策略。

使用说明

1. 在提升的PowerShell会话中运行脚本（以管理员身份运行 - 已授权的恶意用户）：

   1

   .\vdh.ps1

2. 脚本将：

   • 创建、挂载并格式化一个新的VHDX文件。
   • 在字节级别损坏文件。
   • 重新挂载并尝试读取卷。
   • 在挂载的驱动器中创建一个批处理文件your-salaries.bat。

3. 要触发立即重启，导航到挂载的驱动器（例如，D:\）并运行：

   1	your-salaries.bat

4. 在脚本结束时，按0清理（卸载并删除损坏的VHDX），或按任何其他键退出并保留文件以供进一步分析。

重要警告与注意事项

• 仅在测试或隔离环境中运行。 此脚本创建损坏并通过批处理文件强制重启系统。请勿在生产或重要机器上运行。

• 立即重启批处理文件 your-salaries.bat文件触发立即系统重启，没有任何警告或确认。执行时请谨慎。

• 损坏是模拟且微妙的。 8 KB偏移处的损坏是用于演示的软损坏。实际攻击可能应用更复杂的修改。

• 影响可能因操作系统版本和环境而异。 结果取决于Windows版本和配置。某些系统可能自动检测并修复损坏。

• 需要提升的权限。 脚本需要管理员权限来创建、挂载、初始化和损坏VHDX文件。

技术细节

• 损坏偏移：VHDX文件内的8192字节（8 KB）。
• 损坏模式：字节序列[0x00, 0xFF, 0x00, 0xFF, 0xDE, 0xAD, 0xBE, 0xEF]。
• 磁盘初始化：MBR分区样式，带有单个NTFS分区。
• 批处理重启命令：shutdown /r /t 0 /f以强制立即重启。

示例输出

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

[*] 检查现有VHDX文件以避免冲突...
警告：[!] 无法卸载VHDX，可能未挂载：路径“C:\Users\MicrosoftLoosers\Desktop\CVE-2025-49683\corrupted_test.vhdx”不是挂载的虚拟硬盘文件路径。
[*] 已删除现有VHDX文件。
[*] 创建新的VHDX（虚拟硬盘）文件...
    大小：10 MB
    路径：C:\Users\MicrosoftLoosers\Desktop\CVE-2025-49683\corrupted_test.vhdx
[*] 挂载新的VHDX...
[*] 磁盘已初始化并使用NTFS格式化。
    此磁盘模拟真实驱动器以测试挂载和损坏处理。
[*] 驱动器挂载为E:
    您可以在Windows资源管理器中像物理硬盘一样访问此驱动器。
[*] 在应用损坏前卸载VHDX...
[*] 通过修改8 KB偏移处的字节模拟损坏...
    此操作模拟轻微损坏如何影响VHDX文件完整性，
    可能导致文件系统错误或在访问时崩溃。
[+] 损坏成功应用。
    注意：此仅为测试和演示目的的软损坏。
[*] 重新挂载损坏的VHDX以观察效果...
[*] 损坏后分配的驱动器字母：E
[*] 列出挂载驱动器的内容以检测文件系统异常...
[*] 尝试列出驱动器E:\的内容...
[*] 创建立即重启批处理脚本：your-salaries.bat
    运行此批处理将强制立即重启。

[*] 脚本完成。
    此演示展示了VHDX文件在字节级别的损坏
    如何影响系统行为以及为何修补CVE-2025-49683至关重要。

[*] 按'0'清理并删除损坏的VHDX，或按任何其他键退出。
[*] 清理中...
[*] VHDX已卸载。
[*] 已删除VHDX文件。

许可证与免责声明

此脚本仅用于教育和研究目的。作者和分发者对任何因误用造成的损害不承担任何责任。

请负责任地使用，并在测试或利用任何系统上的漏洞之前始终获得适当授权。

参考文献

CVE-2025-49683（Windows VHDX文件损坏漏洞）

Microsoft Windows Virtual Hard Disk (VHDX) 文档

Windows PowerShell 文档

视频：

链接

来源：

链接

如果您不介意，请给我买杯咖啡：

链接

源代码下载

链接

耗时：

05:35:00

– 系统管理员 - 基础设施工程师 渗透测试工程师 漏洞利用开发人员，任职于 https://packetstormsecurity.com/ https://cve.mitre.org/index.html https://cxsecurity.com/ 和 https://www.exploit-db.com/ 0day漏洞利用数据库 https://0day.today/ 主页：https://www.nu11secur1ty.com/ hiPEnIMR0v7QCo/+SEH9gBclAAYWGnPoBIQ75sCj60E= nu11secur1ty http://nu11secur1ty.com/

–

系统管理员 - 基础设施工程师 渗透测试工程师 漏洞利用开发人员，任职于 https://packetstorm.news/ https://cve.mitre.org/index.html https://cxsecurity.com/ 和 https://www.exploit-db.com/ 0day漏洞利用数据库 https://0day.today/ 主页：https://www.nu11secur1ty.com/ hiPEnIMR0v7QCo/+SEH9gBclAAYWGnPoBIQ75sCj60E= nu11secur1ty http://nu11secur1ty.com/