Citrix Bleed 2 内存泄漏检测 PoC 工具

原创

qife122

发布于 2026-03-01 13:30:18

670

Citrix Bleed 2 PoC 扫描器 (CVE-2025-5777)

本项目是一个针对 CVE-2025-5777（代号 "Citrix Bleed 2"）的概念验证型扫描工具。它旨在通过模拟攻击载荷，检测目标 Citrix ADC 设备是否存在内存信息泄漏漏洞，帮助安全研究者和渗透测试人员在获得授权的情况下评估系统风险。

功能特性

多模式测试：支持 randomized（随机混淆）、oversized-headers（超大请求头）和 oversized-body（超大请求体）三种测试方法，以触发潜在的不同类型的内存泄漏。
差分基线分析：通过将测试请求的响应与基线响应进行对比，智能识别并提取出可能泄露的动态数据。
高置信度信息提取：内置正则表达式匹配与香农熵计算引擎，能够从响应中高精度地识别并提取出 Session ID、JWT 令牌等敏感信息。
多格式数据导出：支持将扫描到的敏感信息导出为 JSON、CSV 格式，便于后续分析和报告生成。同时支持导出原始响应内容，供深入研判。
高度可配置：可灵活设置请求数量、请求延迟、是否验证 TLS 证书等参数，以适应不同的网络环境和测试需求。

安装指南

系统要求

Python 3.6 或更高版本
pip 包管理工具

安装步骤

克隆代码仓库git clone https://github.com/your-username/citrix-bleed-2-scanner.git cd citrix-bleed-2-scanner
安装依赖库 本工具仅依赖于 requests 库，用于发送 HTTP 请求。pip install requests或者，你可以创建一个 requirements.txt 文件并执行：echo "requests" > requirements.txt pip install -r requirements.txt

使用说明

基础用法

通过命令行指定目标 URL 即可开始扫描。

python citrix_bleed_2_scanner.py --target https://[目标IP或域名]

典型使用场景

持续性监测：循环发送 10 次请求，每次间隔 5 秒，用于观察漏洞的稳定性。python citrix_bleed_2_scanner.py --target https://192.168.1.100 --loop 10 --delay 5
特定方法测试：使用 oversized-body 测试方法，并将结果保存为 JSON 文件。python citrix_bleed_2_scanner.py --target https://192.168.1.100 --test-method oversized-body --json-out results.json
导出原始数据：将包含潜在敏感信息的原始响应内容保存到文件中。python citrix_bleed_2_scanner.py --target https://192.168.1.100 --raw-out leak_data.txt

参数概览

参数	说明	默认值
`--target`	必需。目标 URL，例如 `https://192.168.1.100`	无
`--loop`	发送请求的次数	`1`
`--delay`	每次请求之间的延迟时间（秒）	`2.0`
`--test-method`	测试方法：`randomized`， `oversized-headers`， `oversized-body`	`randomized`
`--json-out`	将发现的令牌信息导出到指定的 JSON 文件	`None`
`--csv-out`	将发现的令牌信息导出到指定的 CSV 文件	`None`
`--raw-out`	将原始响应内容导出到指定的文件	`None`
`--no-insecure`	启用 TLS 证书验证（默认忽略证书错误）	`disabled`

核心代码

1. 熵值计算引擎

此函数通过计算香农熵来评估一段数据的随机性，是识别潜在密钥或令牌的关键。

# ——— Fingerprint Engine ———
def estimate_entropy(s: bytes or str) -> float:
    """
    Estimates the Shannon entropy of a string to identify randomness, which can indicate a token or key.
    A higher entropy value suggests more randomness.
    """
    if not s or len(s) < 8:
        return 0
    # Ensure string is in a consistent format for analysis
    s = s.decode('utf-8', errors='ignore') if isinstance(s, bytes) else s
    
    # Calculate probability of each character
    probs = [s.count(c) / len(s) for c in set(s)]
    
    # Calculate Shannon entropy
    entropy = -sum(p * log2(p) for p in probs)
    return round(entropy, 2)

2. 特定标签数据提取

该函数专门用于在响应内容中搜索 <InitialValue> 标签，这是 Citrix ADC 设备内存泄漏的特定标志。

# ——— Fingerprint Engine ———
TAG_OPEN = b"<InitialValue>"
TAG_CLOSE = b"</InitialValue>"
EXTRACT_RE = re.compile(
    re.escape(TAG_OPEN) + b"(.*?)" + re.escape(TAG_CLOSE),
    flags=re.DOTALL | re.IGNORECASE,
)

def extract_initial_value(blob: bytes) -> bytes | None:
    """
    Searches for and extracts the content between <InitialValue> and </InitialValue> tags.
    This is a strong indicator of a memory leak from the Citrix ADC device.
    Returns the extracted content as bytes, or None if not found.
    """
    # 函数体将使用编译好的正则表达式 EXTRACT_RE 在 blob 中进行搜索
    # 如果找到匹配项，返回标签内的内容；否则返回 None
    # 此函数的具体实现是漏洞利用逻辑的核心部分
    pass

3. 命令行参数解析

使用 argparse 模块构建灵活且用户友好的命令行接口。

# ——— Main CLI Interface ———
import argparse

def main():
    parser = argparse.ArgumentParser(description='Citrix Bleed 2 (CVE-2025-5777) Proof-of-Concept Scanner')
    parser.add_argument('--target', required=True, help='Target URL (e.g., https://192.168.1.100)')
    parser.add_argument('--loop', type=int, default=1, help='Number of requests to send')
    parser.add_argument('--delay', type=float, default=2.0, help='Delay between requests in seconds')
    parser.add_argument('--test-method', choices=['randomized', 'oversized-headers', 'oversized-body'], default='randomized', help='The testing method to use')
    parser.add_argument('--json-out', help='Export found tokens to a JSON file')
    parser.add_argument('--csv-out', help='Export found tokens to a CSV file')
    parser.add_argument('--raw-out', help='Export raw response content to a file')
    parser.add_argument('--no-insecure', action='store_true', help='Enable TLS certificate verification')
    
    args = parser.parse_args()
    # ... 后续扫描逻辑