CVE-2024-38063 Windows TCP/IP 远程代码执行漏洞(有poc)

admin
admin
admin
138635
文章
114
评论
2024年10月31日12:58:27评论16 views字数 2009阅读6分41秒阅读模式
CVE-2024-38063 - Windows TCP/IP 远程代码执行漏洞。
BSOD 的出现会导致 RCE,而我的代码只会导致 BSOD。我不断分析补丁和测试,以导致目标系统中出现 RCE。

新增功能:

  • 新增 SYN FLOOD 和 ICMP FLOOD 攻击

注意:

为了缓解使用欺骗性 IP 地址的 DDoS 攻击,Windows 限制了构建原始 IP 数据包的能力。出于这个原因,我选择使用 Linux 来开发我的概念验证。虽然 Linux 确实允许用户构建和发送原始第 2 层和第 3 层数据包,但它需要 Python 脚本以 root 身份运行。

  • 编号:https://www.malwaretech.com/2024/08/exploiting-CVE-2024-38063.html

概述

CVE-2024-38063 是 Windows TCP/IP 堆栈中的一个关键安全漏洞,允许远程代码执行 (RCE)。该漏洞是由于 Windows 对 IPv6 网络数据包的处理不当造成的,攻击者可利用该漏洞在易受攻击的系统上执行任意代码。

  • CVE 编号:CVE-2024-38063
  • CVSS 评分:9.8(严重)
  • 影响:远程代码执行
  • 受影响的组件:Windows TCP/IP 堆栈
  • 漏洞利用向量:网络(远程)

漏洞详情

攻击者可以通过向目标计算机发送特制的 IPv6 数据包来利用 CVE-2024-38063。由于这些数据包处理不当,攻击者可以触发缓冲区溢出,导致以提升的权限执行恶意代码。这可能会导致未经授权的访问、数据泄露或完全系统受损。

受影响的版本

此漏洞会影响所有受支持的 Windows 版本,包括:

  • Windows 10 操作系统
  • 窗户 11
  • Windows Server 2016、2019 和 2022(包括 Server Core 安装)

v6disc IPv6 主机自动发现脚本

此脚本会自动发现指定网络接口上的 IPv6 主机,并选择性地对它们执行 ping 操作。它支持各种发现方法,包括 SLAAC(无状态地址自动配置)、DHCPv6 和 RFC 7217 不透明地址。该脚本还可以执行双堆栈发现(IPv4 和 IPv6)并使用 扫描主机。

特征

  • IPv6 主机发现:自动发现指定接口上的 IPv6 主机。
  • SLAAC、DHCPv6 和 RFC 7217 支持:处理各种 IPv6 地址类型。
  • Ping 选项:(可选)对发现的主机执行 ping 操作以验证连接。
  • 双栈:可以同时显示 IPv4 和 IPv6 地址。
  • Nmap 集成:使用 扫描主机的选项。nmap
  • 安静模式:禁止显示除发现的主机之外的输出。
  • Avahi/Bonjour 支持:mDNS (多播 DNS) 支持主机发现。
  • 链路本地发现:仅搜索链接本地地址的选项。

先决条件

  • ip命令(或用于 BSD/MacOS 兼容性)ifconfig
  • ping6或统一命令(现代 Linux)ping
  • nmap(可选,用于扫描主机)
  • avahi-utils(可选,适用于 mDNS)
  • wireshark_oui.gz(可选,用于将 MAC 地址解析给制造商)

缓解和修补

作为 2024 年 8 月补丁星期二的一部分,Microsoft 发布了安全补丁来解决此漏洞。强烈建议立即应用这些补丁以保护您的系统。

缓解步骤

  • 禁用 IPv6:如果您的环境中不需要 IPv6,请考虑禁用它以减少攻击面。
  • 应用安全更新:确保所有系统都使用 Microsoft 提供的最新安全补丁进行更新。

如何应用补丁

  1. Windows 更新:转到并检查更新。Settings > Update & Security > Windows Update
  2. WSUS:使用 Windows Server Update Services (WSUS) 在网络中部署更新。
  3. 手动安装:从 Microsoft Update Catalog 下载补丁并手动安装它们。

引用

  • 针对 CVE-2024-38063 的 Microsoft 安全公告https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
  • Tenable 安全响应团队 - 2024 年 8 月补丁星期二https://www.tenable.com/blog/microsoft-august-2024-patch-tuesday
  • CVE 详细信息和缓解措施

    https://www.cve.news/cve-2024-38063/

免責聲明

本文档仅供参考,不构成任何法律义务或保证。请参阅官方 Microsoft 文档和公告以获取全面指导。

获取poc:

编号: CVE-2024-38063

访问地址:https://github.com/ThemeHackers/CVE-2024-38063
描述: CVE-2024-38063 是 Windows TCP/IP 堆栈中的一个关键安全漏洞,允许远程代码执行 (RCE)

[注意:请自行分辨是否为红队钓鱼]
CVE-2024-38063

 

 

原文始发于微信公众号(b1gpig信息安全):漏洞推送:CVE-2024-38063 Windows TCP/IP 远程代码执行漏洞(有poc)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月31日12:58:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-38063 Windows TCP/IP 远程代码执行漏洞(有poc)https://cn-sec.com/archives/3335454.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息