追洞小组 | 实战CVE-2020-16898漏洞复现

admin 2021年5月24日20:23:45评论87 views字数 964阅读3分12秒阅读模式


追洞小组 | 实战CVE-2020-16898漏洞复现
三连一下,一起学安全

文章来源|MS08067 WEB攻防知识星球

本文作者:M-101(Ms08067实验室追洞小组成员)          

漏洞复现分析  认准追洞小组

追洞小组 | 实战CVE-2020-16898漏洞复现

漏洞名称

Windows 任意代码执行漏洞

漏洞编号

CVE-2020-16898

漏洞描述

成功利用该漏洞的攻击者可以在目标机器(主机或服务器)上执行任意代码。

漏洞版本

Microsoft Windows 10 1709 

Microsoft Windows 10 1803 

Microsoft Windows 10 1809 

Microsoft Windows 10 1903 

Microsoft Windows 10 1909 

Microsoft Windows 10 2004 

Microsoft Windows Server 2019

Microsoft Windows Server, version 1903

Microsoft Windows Server, version 1909

Microsoft Windows Server, version 2004

漏洞分析

当Windows TCP / IP 堆栈不正确地处理使用选项类型 25(递归 DNS 服务器选项)且长度字段值为偶数的 ICMPv6 路由器广告数据包时,存在一个远程执行代码漏洞。在此选项中,长度以 8 个字节为增量进行计数,因此长度为 3 的 RDN 选项的总长度应为 24 个字节。该选项本身包含五个字段:IPv6 递归 DNS 服务器的类型,长度,保留,生存时间和地址。前四个字段始终总共为 8 个字节,但最后一个字段可以包含可变数量的 IPv6 地址,每个 IPv6 地址均为 16 个字节。按照 RFC 8106,长度字段应始终为至少 3 的奇数值,当提供一个偶数长度值时,Windows TCP / IP 堆栈错误地将网络缓冲区的前进量减少了 8 个字节。这是因为堆栈在内部以 16 字节为增量进行计数,因此无法解决使用非 RFC 兼容长度值的情况。这种不匹配导致堆栈将当前选项的最后 8 个字节解释为第二个选项的开始,最终导致缓冲区溢出和潜在的RCE。

实验环境及准备

Win10、Kali

复现步骤

开启 ipv6

追洞小组 | 实战CVE-2020-16898漏洞复现
追洞小组 | 实战CVE-2020-16898漏洞复现

查看版本信息


追洞小组 | 实战CVE-2020-16898漏洞复现
追洞小组 | 实战CVE-2020-16898漏洞复现

查看 IP

追洞小组 | 实战CVE-2020-16898漏洞复现
追洞小组 | 实战CVE-2020-16898漏洞复现

执行 poc

追洞小组 | 实战CVE-2020-16898漏洞复现
追洞小组 | 实战CVE-2020-16898漏洞复现
追洞小组 | 实战CVE-2020-16898漏洞复现
追洞小组 | 实战CVE-2020-16898漏洞复现



扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

追洞小组 | 实战CVE-2020-16898漏洞复现 追洞小组 | 实战CVE-2020-16898漏洞复现

追洞小组 | 实战CVE-2020-16898漏洞复现追洞小组 | 实战CVE-2020-16898漏洞复现

追洞小组 | 实战CVE-2020-16898漏洞复现 追洞小组 | 实战CVE-2020-16898漏洞复现

目前36000+人已关注加入我们

追洞小组 | 实战CVE-2020-16898漏洞复现

本文始发于微信公众号(Ms08067安全实验室):追洞小组 | 实战CVE-2020-16898漏洞复现

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月24日20:23:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   追洞小组 | 实战CVE-2020-16898漏洞复现https://cn-sec.com/archives/273054.html

发表评论

匿名网友 填写信息