malejdj/CVE-2026-30784-rustdesk-poc
GitHub: malejdj/CVE-2026-30784-rustdesk-poc
该项目是针对 RustDesk hbbs 服务流量放大漏洞(CVE-2026-30784)的概念验证与 PCAP 网络流量取证分析工具。
Stars: 0 | Forks: 0
# CVE-2026-30784-rustdesk-poc
CVE-2026-30784: RustDesk hbbs 流量放大 PoC & PCAP 分析
## 关键发现
### PCAP 文件位置
数据包抓取文件存储于:
```
data/attack_only.pcap.gz
```
### PCAP 抓取背景与详情
由于为了缓解持续的外发放大攻击,该服务已被禁用,因此提供的 PCAP 文件(`data/attack_only.pcap.gz`)**仅包含传入流量**。即使没有服务器的响应,传入的攻击向量也清楚地展示了攻击的恶意意图和结构特征:
* **仅入站洪水攻击:** 由于 `hbbs` 已宕机,在这个特定的抓包记录中没有相应的出站放大响应流量。这是为了保护第三方受害者而采取的刻意行动。
* **独特且静态的特征:** 命中端口 21116 的传入 UDP 数据包表现出高度统一且易于识别的 payload 特征(表现为独特的类似 Base64 的字符串,以 `szpontnet...` 等特定标记开头)。
* **证据保留:** 此抓包纯粹用作未经验证的扫描和洪水攻击阶段的取证证据,当服务处于活动状态时,该阶段会触发放大行为。
标签:PCAP分析, PoC, RustDesk, 暴力破解, 流量放大攻击, 网络安全, 逆向工具, 配置错误, 隐私保护