Sliver C2框架漏洞解析：攻击者可建立TCP连接窃取数据流量

近期
，框可建Sliver C2框架的架漏击团队服务器（teamserver）实现中被发现存在一个严重的服务器端请求伪造（SSRF）漏洞（CVE-2025-27090）。该漏洞允许攻击者通过受影响的洞解服务器建立未授权的TCP连接，云计算可能导致IP泄露
、析攻横向移动和流量拦截 。立T连接流量

漏洞影响范围

该漏洞影响Sliver C2框架的数据1.5.26至1.5.42版本，以及在Of340a2提交之前的框可建预发布版本。源码库尽管Sliver的架漏击架构通常会将团队服务器置于保护性重定向器之后，但该漏洞允许攻击者通过精心构造的洞解植入物回调绕过这些保护措施。

Sliver的析攻架构（来源：Chebuya）

漏洞利用机制

该漏洞利用链涉及Sliver Go代码库中的建站模板两个关键处理函数 。首先，立T连接流量registerSessionHandler函数通过Protobuf反序列化为新植入物创建一个会话对象：

复制`// server/handlers/sessions.go session := core.NewSession(implantConn) core.Sessions.Add(session) // 将会话添加到团队服务器跟踪`1.2.3.

攻击者随后利用tunnelDataHandler
，数据发送包含CreateReverse设置为true的框可建特制TunnelData消息 ：

复制`// server/handlers/session.go if rtunnel == nil && tunnelData.CreateReverse == true { createReverseTunnelHandler(implantConn, data) // 触发SSRF }`1.2.3.4.

这将强制团队服务器通过defaultDialer.DialContext调用建立出站连接 ：

复制`remoteAddress := fmt.Sprintf("%s:%d", req.Rportfwd.Host, req.Rportfwd.Port) dst, err := defaultDialer.DialContext(ctx, "tcp", remoteAddress)`1.2.

通过Sliver的隧道管理系统，模板下载该漏洞实现了双向通信
。架漏击如下Python概念验证（PoC）代码所示，洞解攻击者首先注册一个虚假会话
 ，然后发起反向隧道 ：

复制`registration_envelope = generate_registration_envelope() ssock.write(registration_envelope_len + registration_envelope) reverse_tunnel_envelope = generate_create_reverse_tunnel_envelope(target_ip, port, data) ssock.write(reverse_tunnel_envelope_len + reverse_tunnel_envelope)`1.2.3.4. 修复建议

该漏洞已通过提交3f2a1b9修复，改进了会话验证和隧道创建检查 。管理员应立即更新至Sliver v1.5.43及以上版本 ，源码下载并审核所有暂存监听器是否存在未授权的shellcode生成能力。

此SSRF漏洞突显了在C2框架处理双向网络通信时，严格输入验证的重要性。亿华云随着红队工具本身成为攻击目标 ，团队服务器组件的坚固隔离对于操作安全仍然至关重要
。