SMBGhost漏洞(CVE2020-0796)简单分析

最新推荐文章于 2024-07-17 10:09:39 发布
最新推荐文章于 2024-07-17 10:09:39 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: 安全分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bluebloodye/article/details/106973102
版权
本文详细分析了SMBGhost漏洞(CVE2020-0796),该漏洞影响了SMB(Server Message Block)协议,允许远程攻击者执行任意代码。通过深入探讨其工作原理和利用方式,我们了解了其严重性以及如何防范此类安全威胁。
摘要由CSDN通过智能技术生成
0x00 漏洞描述
3 月 10 日:微软发布安全通告 ADV200005,称 SMBv3 协议在处理某些请求的方式中存在代码执行漏洞,并提供了缓解措施。
3 月 12 日:微软正式发布 CVE-2020-0796 安全通告和漏洞修复补丁。
 
CVE-2020-0796是Windows 10 1903/1909的新SMB3压缩功能中的错误。
SMB协议版本3.1.1引入了一种功能,即客户端或服务器可以发布压缩功能,并有选择地压缩SMB3消息。
使用此功能协商会话后,客户端或服务器可以选择压缩某些SMB消息。为此,整个SMB包会被压缩,并且生成的文件头会被前置。此标头是一个小的(16字节)结构:魔术值,未压缩的数据大小,使用的压缩算法和偏移值。
CVE-2020-0796是由该偏移量大小中缺少边界检查导致的,该偏移量大小会被直接传递给多个子例程。传入较大的值将导致缓冲区溢出,并使内核崩溃。通过进一步的工作,可以将其开发为远程代码执行类型等的漏洞利用程序。
 
漏洞影响版本:
  Windows 10 Version 1903 for 32-bit Systems
  Windows 10 Version 1903 for x64-based Systems
  Windows 10 Version 1903 for ARM64-based Systems
  Windows Server, Version 1903 (Server Core installation)
  Windows 10 Version 1909 for 32-bit Systems
  Windows 10 Version 1909 for x64-based Systems
  Windows 10 Version 1909 for ARM64-based Systems
  Windows Server, Version 1909 (Server Core installation)
 
0x01 漏洞分析
1.分析环境搭建及配置
配置目标机(虚拟机): Windows版本:1909,未安装安全更新补丁(KB4551762)
查看其ip:
配置内核调试,管理员权限启动cmd,输入以下命令
 
配置内核调试主机(宿主机):
配置符号表:
 
配置完成后,重启虚拟机即可开始调试内核
 
 
 
2.打开Wireshark,进行抓包
 
3.触发蓝屏,进行调试。
(将目标机关闭防火墙)
采用蓝屏poc:
触发蓝屏:虚拟机成功挂掉
 
Wireshark抓包如下:
 
使用!analyze -v 
KEY_VALUES_STRING: 1


    Key  : Analysis.CPU.Sec
    Value: 5


    Key  : Analysis.DebugAnalysisProvider.CPP
    Value: Create: 8007007e on DESKTOP-JT38GVK


    Key  : Analysis.DebugData
    Value: CreateObject


    Key  : Analysis.DebugModel
    Value: CreateObject


    Key  : Analysis.Elapsed.Sec
    Value: 61


    Key  : Analysis.Memory.CommitPeak.Mb
    Value: 61


    Key  : Analysis.System
    Value: CreateObject




ADDITIONAL_XML: 1


BUGCHECK_CODE:  50


BUGCHECK_P1: ffffc80d40cf0c1f


BUGCHECK_P2: 0


BUGCHECK_P3: fffff80414c3cee7


BUGCHECK_P4: 2


READ_ADDRESS:  ffffc80d40cf0c1f Nonpaged pool


MM_INTERNAL_CODE:  2


PROCESS_NAME:  System


TRAP_FRAME:  ffffc68f9c9b2b90 -- (.trap 0xffffc68f9c9b2b90)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffffc68f9c9b2d58 rbx=0000000000000000 rcx=ffffc68f9c9b2d50
rdx=0000000000000001 rsi=0000000000000000 rdi=0000000000000000
rip=fffff80414c3cee7 rsp=ffffc68f9c9b2d20 rbp=ffffc68f9c9b2d70
r8=0000000000000000  r9=0000000000000033 r10=fffff80414c3ce90
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei pl zr na po nc
nt!RtlDecompressBufferLZNT1+0x57:
fffff804`14c3cee7 0fb71e          movzx   ebx,word ptr [rsi] ds:00000000`00000000=????
Resetting default scope


STACK_TEXT:  
ffffc68f`9c9b2148 fffff804`148ad492 : ffffc80d`40cf0c1f 00000000`00000003 ffffc68f`9c9b22b0 fffff804`1472bf20 : nt!DbgBreakPointWithStatus
ffffc68f`9c9b2150 fffff804`148acb82 : fffff804`00000003 ffffc68f`9c9b22b0 fffff804`147d7ce0 00000000`00000050 : nt!KiBugCheckDebugBreak+0x12
ffffc68f`9c9b21b0 fffff804`147c3917 : fffff804`14a681b8 fffff804`148d6fe5 ffffc80d`40cf0c1f ffffc80d`40cf0c1f : nt!KeBugCheck2+0x952
ffffc68f`9c9b28b0 fffff804`14807b0a : 00000000`00000050 ffffc80d`40cf0c1f 00000000`00000000 ffffc68f`9c9b2b90 : nt!KeBugCheckEx+0x107
ffffc68f`9c9b28f0 fffff804`146d01df : ffffc80c`43764000 00000000`00000000 00000000`00000000 ffffc80d`40cf0c1f : nt!MiSystemFault+0x18fafa
ffffc68f`9c9b29f0 fffff804`147d169a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000054 : nt!MmAccessFault+0x34f
ffffc68f`9c9b2b90 fffff804`14c3cee7 : 00000000`00000000 00000000`00001100 ffffc80c`3feff8c0 00000000`00001000 : nt!KiPageFault+0x35a
ffffc68f`9c9b2d20 fffff804`1466e666 : ffffc80d`417bc04f ffffc80c`3feff8c0 ffffc80d`417bc04f fffff804`1466e5da : nt!RtlDecompressBufferLZNT1+0x57
ffffc68f`9c9b2db0 fffff804`1944e0bd : 00000000`00000002 00000000`00000033 00000000`ffffffff fffff804`00000000 : nt!RtlDecompressBufferEx2+0x66
ffffc68f`9c9b2e00 fffff804`194f7f41 : ffffc80c`00010020 ffffc80c`417bd150 00000000`00000001 00000000`ffffffff : srvnet!SmbCompressionDecompress+0xdd
ffffc68f`9c9b2e70 fffff804`194f699e : 00000000`00000000 ffffc80c`40cf06a0 00000000
最低0.47元/天 解锁文章
0x001
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cve-2020-0796_SMBGhost:微软SMBv3远程代码执行漏洞分析CVE20200796
weixin_39754411的博客
11-23 709
漏洞描述3月11日,微软发布了针对115个CVE漏洞的补丁更新,其中最引人关注的是一个针对Smb服务器/客户端的一个内存破坏漏洞,CVE编号为CVE-2020-0796,成功利用此漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行任意代码,此漏洞属于严重危害的零接触蠕虫级远程代码执行漏洞,此漏洞也被称为SMBGhost或“Coronablue。3月12日,微软正式发布漏洞通告和相关...
cve-2020-0796_SMBGhost 漏洞 CVE20200796 的PoC 已发布,攻击现身
weixin_39622399的博客
11-30 471
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队美国国土安全部网络安全和基础设施安全局(CISA)向Windows用户发出警告信息称,最近发布的SMBGhost漏洞PoC已被滥用于发动攻击活动。SMBGhost 漏洞也被称为 CoronaBlue,编号为 CVE-2020-0796,和 Server Message Block 3.0(SMBv3) 相关,具...
请大神帮忙看看windbg分析dump文件 解决windows蓝屏
最新发布
m0_59138075的博客
07-17 459
analyze -vnt!1: kd>!analyze -vArguments:Value: 1Value: 1Value: 7Value: 702Value: 94Value: cValue: 1Value: 1.ecxr;kb---------1: kd>!analyze -vArguments:Value: 1。
SMBGhost:一个SMB的RCE幽灵漏洞
KHOST的博客
03-16 587
近日,一个SMB协议漏洞CVE-2020-0796再次炸锅安全圈,有趣的是,刚过去的微软星期二补丁日,补丁列表上面居然没有CVE-2020-0796这个漏洞编号,国外安全研究员直接给他起了个名字叫SMBGhost,还有的叫做CoronaBlue,因为是新冠.. 来龙去脉,我来给你捋一捋。 万恶之源来自思科talos的博客,上面发布了关于例行补丁日修复的漏洞的检测规则。 ...
SMBGhost (CVE-2020-0796): 自动化利用与检测工具
gitblog_00093的博客
06-08 394
SMBGhost (CVE-2020-0796): 自动化利用与检测工具 项目地址:https://gitcode.com/Barriuso/SMBGhost_AutomateExploitation 1、项目介绍 SMBGhost 是一个Python程序,用于自动化利用和检测著名的SMBGhost漏洞(CVE-2020-0796)。该漏洞是由于微软的Server Message Block (S...
CVE-2020-0796 漏洞分析报告(最详细)
热门推荐
RatOnSea的博客
05-28 1万+
CVE-2020-0796 漏洞分析报告 1 漏洞介绍 1.1 名称 微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796 1.2 影响范围 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Se
NSE-scripts:NSE脚本可检测CVE-2020-1350 SIGRED和CVE-2020-0796 SMBGHOST,CVE-2021-21972
05-08
NSE脚本使用Microsoft SMBv3压缩(又名coronablue,SMBGhost)来检测易受攻击的CVE-2020-0796问题 该脚本是smb-protocols.nse脚本的修改后的版本,具有用于v3.11检测和验证CVE-2020-0796的修改后的输出数据。 注意...
CVE-2020-0796:CVE-2020-0796-Windows SMBv3 LPE攻击#SMBGhost
03-19
【CVE-2020-0796:Windows SMBv3 LPE攻击#SMBGhost】是一个重要的安全漏洞,涉及到微软的Server Message Block (SMB) 协议的第3版。SMB是一个用于在局域网内共享文件、打印机和其他资源的协议。这个漏洞,也被称作...
SMBGhost(CVE-2020-0796)自动化利用和检测_Python_Assembly_下载.zip
04-22
标题中的"SMBGhost"指的是一个安全漏洞,全称为CVE-2020-0796,这是一个在2020年被发现的严重安全威胁,主要影响的是使用Server Message Block (SMB)协议的系统,尤其是Windows操作系统。SMB是网络上文件共享和打印...
Ladon8.5稳定利用SMBGhost CVE-2020-0796
K8哥哥
07-11 517
漏洞介绍 2020年3月10日,微软在其官方SRC发布了CVE-2020-0796安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中,攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。 影响版本 CVE-2
SMBGhost_AutomateExploitation:SMBGhost(CVE-2020-0796)自动化开发和检测
04-13
SMBGhost(CVE-2020-0796)自动化开发和检测 此python程序是RCE SMBGhost漏洞的包装程序。 所有功劳 。 扫描仪的所有功劳 。 我只是在一个程序中自动执行这些功能。 创建反向外壳时,需要牢记Windows目标的体系结构。 此漏洞不稳定,请自行使用。 有时第一次无法使用,这就是为什么我添加了第二次重试的原因。 如果要放置自己的shellcode,请记住shellcode的最大大小为600 bytes 。 在Windows 10 x64上测试(Microsoft Windows [Versión10.0.18362.113]。内部版本1903。) @tijldeneut在Win10 Enterprise(Eng)x64 v1903 Build 18362.30上进行了测试 Windows ISO(x64)容易受到攻击的测试: 演示 从msfvenom
CVE-2020-0796-POC.py
03-19
微软SMBv3远程代码执行漏洞SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaCry等勒索蠕虫利用的可能,攻击者可以构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击,对存在该漏洞的Windows主机造成严重威胁。
CVE-2020-0796.py
01-04
CVE-2020-0796漏洞poc,遵守pocsuite3标准
CVE-2020-0796 POC EXP.zip
04-01
CVE-2020-0796的poc检测代码。 CVE-2020-0796本地exp执行代码。
CVE-2020-0796 SMB远程代码执行漏洞 分析、验证及加固
Adminxe的博客
05-15 9017
0x01漏洞描述 CVE-2020-0796是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞,该漏洞未包含 在微软本月发布的补丁中,是在补丁的序言中泄露的。目前微软尚未发布任何技术详情,思科Talos团队和Fortinet公司提供了简短概述,目前尚不清楚该漏洞的补丁何时发布。 Fortinet公司指出,该漏洞是“微软 SMB 服务器中的一个缓冲区溢出漏洞”,严重等级为最高评分,“该漏洞由易...
SMBGhost_RCE漏洞(CVE-2020-0796永恒之黑)
开心星人的博客
11-22 244
https://github.com/shengshengli/LadonGo/blob/main/smb/SmbGhost.go微调了下得到下面的代码。但https://github.com/ly4k/SMBGhost/blob/master/scanner.py仍然显示漏洞,所以这个poc是有问题的。https://github.com/chompie1337/SMBGhost_RCE_PoC 漏洞利用的exp。测试了靶机和本机,结果均正确。
CVE-2020-0796
m_de_g的博客
10-08 6688
CVE-2020-0796(永恒之黑) 一.对应出现的版本 永恒之黑的对象为采用Windows 10 1903之后的所有终端节点,如Windows家用版、专业版、企业版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均为潜在攻击目标,Windows 7不受影响。 原理为由于SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。 首先下载 CVE-2020
cve-2020-0796
y@n1n的博客
03-05 221
一.漏洞概述 1.漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。 2.影响范围  适用于32位系统的Windows 10版本1903  Windows 10 1903版(用于基于x64的系统)  Windows 10 1903版(用于基于ARM64的系统)  Windows Server 1903版(服务器核
cve-2020-0796漏洞逆向分析
11-21
CVE-2020-0796漏洞,也被称为"SMBGhost",是一个影响微软Windows操作系统的严重漏洞。该漏洞存在于Windows 10版本1903和1909之间的SMBv3协议中,攻击者可以利用此漏洞执行远程代码,从而控制受感染的系统。 对CVE-2020-0796漏洞进行逆向分析是为了深入了解其工作原理及漏洞利用的具体细节。逆向分析通常包括静态和动态分析两个方面。 首先,静态分析是通过对漏洞程序的反汇编、分析源代码或查看二进制文件等方法来了解漏洞的工作原理。这可以帮助研究人员识别漏洞的关键功能、漏洞的出现位置以及可能的漏洞利用方式。 其次,动态分析是在虚拟化环境中或实际受感染的系统上运行漏洞程序,监视其行为并捕获关键信息。通过动态分析,研究人员能够观察到漏洞利用的具体过程,从而理解攻击者是如何利用漏洞来执行远程代码或获取系统权限的。 在逆向分析过程中,研究人员需要使用一些特定的工具,如反汇编器、调试器以及网络分析工具等。这些工具可以帮助研究人员获取漏洞程序的内部结构、系统调用、网络通信等关键信息,有助于理解漏洞的利用方式和脆弱点。 通过逆向分析CVE-2020-0796漏洞,能够帮助安全专业人员更好地理解漏洞的工作原理,从而开发相应的补丁或安全措施以防止攻击者利用该漏洞入侵系统。此外,逆向分析还有助于提高安全分析人员的能力和知识,进一步提升网络安全的整体水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值