Android 版 Telegram（10.14.4 及更早版本）中 CVE-2024-7014（EvilVideo）漏洞验证

Ots安全 2025-03-20 19:45

Android 版 Telegram（10.14.4 及更早版本）中 CVE-2024-7014（EvilVideo）漏洞的概念验证。该程序将伪装成视频的恶意文件上传到 Telegram 频道，利用安全漏洞安装恶意软件或重定向用户。

先决条件
– 您的系统上安装了 Python 3.x。

• pyTelegramBotAPI图书馆 （pip install pyTelegramBotAPI）。

• Telegram 机器人代币

• 机器人具有发布权限的 Telegram 频道或聊天 ID。

• 恶意文件（Poc_CVE_2024_7014.txt）和缩略图（thumbnail.jpg）位于同一目录中。

用法
– 打开Poc_CVE_2024_7014.py并更新以下变量：

• BOT_TOKEN：用您的 Telegram 机器人令牌替换。

• CHAT_ID：替换为目标频道的聊天 ID（例如，@testevilvideo）。

• FILE_PATH：确保它指向恶意文件。

• 标题：如果需要，可自定义标题

重要的：

从文件Poc_CVE_2024_7014.txt（包含 HTML 有效负载）开始。完成修改后（例如，更新 APK 下载链接），将其重命名为malicious_video.mp4。这会将文件伪装成视频，从而利用漏洞。- 示例：编辑Poc_CVE_2024_7014.txt，然后另存为malicious_video.mp4。

可选缩略图：

脚本可以包含缩略图 (thumbnail.jpg)，以使“视频”看起来更合法。要更改缩略图，请将 thumbnail.jpg 替换为您想要的图像（建议尺寸：320×180 像素）

项目地址：

https://github.com/absholi7ly/PoC-for-CVE-2024-7014-Exploit

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里