近期,Sliver C2框架的团队服务器(teamserver)实现中被发现存在一个严重的服务器端请求伪造(SSRF)漏洞(CVE-2025-27090)。该漏洞允许攻击者通过受影响的服务器建立未授权的TCP连接,可能导致IP泄露、横向移动和流量拦截。
漏洞影响范围
该漏洞影响Sliver C2框架的1.5.26至1.5.42版本,以及在Of340a2提交之前的预发布版本。尽管Sliver的架构通常会将团队服务器置于保护性重定向器之后,但该漏洞允许攻击者通过精心构造的植入物回调绕过这些保护措施。
Sliver的架构(来源:Chebuya)
漏洞利用机制
该漏洞利用链涉及Sliver Go代码库中的两个关键处理函数。首先,registerSessionHandler函数通过Protobuf反序列化为新植入物创建一个会话对象:
攻击者随后利用tunnelDataHandler,发送包含CreateReverse设置为true的特制TunnelData消息:
这将强制团队服务器通过defaultDialer.DialContext调用建立出站连接:
通过Sliver的隧道管理系统,该漏洞实现了双向通信。如下Python概念验证(PoC)代码所示,攻击者首先注册一个虚假会话,然后发起反向隧道:
修复建议
该漏洞已通过提交3f2a1b9修复,改进了会话验证和隧道创建检查。管理员应立即更新至Sliver v1.5.43及以上版本,并审核所有暂存监听器是否存在未授权的shellcode生成能力。
此SSRF漏洞突显了在C2框架处理双向网络通信时,严格输入验证的重要性。随着红队工具本身成为攻击目标,团队服务器组件的坚固隔离对于操作安全仍然至关重要。