三连一下，一起学安全

文章来源｜MS08067 WEB攻防知识星球

本文作者：M-101（Ms08067实验室追洞小组成员）          

漏洞复现分析  认准追洞小组

漏洞名称

Windows 任意代码执行漏洞

漏洞编号

CVE-2020-16898

漏洞描述

成功利用该漏洞的攻击者可以在目标机器（主机或服务器）上执行任意代码。

漏洞版本

Microsoft Windows 10 1709 

Microsoft Windows 10 1803 

Microsoft Windows 10 1809 

Microsoft Windows 10 1903 

Microsoft Windows 10 1909 

Microsoft Windows 10 2004 

Microsoft Windows Server 2019

Microsoft Windows Server, version 1903

Microsoft Windows Server, version 1909

Microsoft Windows Server, version 2004

漏洞分析

当Windows TCP / IP 堆栈不正确地处理使用选项类型 25（递归 DNS 服务器选项）且长度字段值为偶数的 ICMPv6 路由器广告数据包时，存在一个远程执行代码漏洞。在此选项中，长度以 8 个字节为增量进行计数，因此长度为 3 的 RDN 选项的总长度应为 24 个字节。该选项本身包含五个字段：IPv6 递归 DNS 服务器的类型，长度，保留，生存时间和地址。前四个字段始终总共为 8 个字节，但最后一个字段可以包含可变数量的 IPv6 地址，每个 IPv6 地址均为 16 个字节。按照 RFC 8106，长度字段应始终为至少 3 的奇数值，当提供一个偶数长度值时，Windows TCP / IP 堆栈错误地将网络缓冲区的前进量减少了 8 个字节。这是因为堆栈在内部以 16 字节为增量进行计数，因此无法解决使用非 RFC 兼容长度值的情况。这种不匹配导致堆栈将当前选项的最后 8 个字节解释为第二个选项的开始，最终导致缓冲区溢出和潜在的RCE。

实验环境及准备

Win10、Kali

复现步骤

开启 ipv6

查看版本信息

查看 IP

执行 poc

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群，内部微信群永久有效！

 

 

目前36000+人已关注加入我们

查看评论