CVE-2020-0769逆向分析

置顶 于 2021-09-13 16:00:59 发布
阅读量621 收藏 1
点赞数 2
分类专栏: C/C++ 渗透 系统安全 文章标签: 安全 程序人生
1
本文链接:https://blog.csdn.net/weixin_43815930/article/details/109718811
版权
C/C++ 同时被 3 个专栏收录
23 篇文章 3 订阅
订阅专栏
渗透
22 篇文章 1 订阅
订阅专栏
系统安全
6 篇文章 0 订阅
订阅专栏

受影响版本:

系统 版本
Microsoft Windows 10
Windows 10 1607
Windows 10 1709
Windows 10 1803
Windows 10 1809
Windows 10 1903
Windows 10 1909
Windows 7 SP1
Windows 8.1
Windows RT 8.1
Windows Server 2008 SP2
Windows Server 2008 R2 SP1
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server 1803
Windows Server 1903
Windows Server 1909
此漏洞只会影响SMB v3.1.1
客户端与服务端都存在此漏洞
服务端漏洞位于srv2.sys内核模块中,客户端漏洞位于mrxxmb.sys模块

漏洞描述
从win10 1903/win server 1903开始对SMB v3.1.1进行数据压缩的支持
包格式
在这里插入图片描述

翻译后内容

在这里插入图片描述
在这里插入图片描述

此次漏洞触发原因是因为客户端/服务端在进行数据解压是未对OriginalCompressedSegmentSize与Offset/Length 进行合理的长度检查造成的
先来大致梳理一下函数的调用关系:
DriverEntry=>Srv2DeviceControl=>Srv2ProcessFsctl=>Srv2StartDriver=>Srv2StartInstance=>Srv2ReceiveHandler
然后Srv2ReceiveHandler函数会将Srv2DecompressMessageAsync函数放入SLIST_ENTRY链表中进行回调异步调用
在这里插入图片描述

然后Srv2DecompressMessageAsync函数会调用去调用Srv2DecompressData函数
在这里插入图片描述

Srv2DecompressData函数会根据OriginalCompressedSegmentSize与Offset/Length进行内存分配
在这里插入图片描述

_mm_srli_si128函数是一个与XMM寄存器相关的函数,此函数让第一个参数v3逻辑运算向右移8个字节,要注意他的移动单位是字节不是位
此时Size指向ProtocolId,v4指向CompressionAlgorithm,Size偏移1个32位即4字节便是OriginalCompressedSegmentSize,v4偏移一个4字节便是Offset/Length
然后SrvNetAllocateBuffer函数申请内存空间其大小等于OriginalCompressedSegmentSize+Offset而这两个值都是可控的,然后进入SrvNetAllocateBuffer查看如何进行内存分配,要注意此函数与之后要看SmbCompressionDecompress的位于sysnet.sys模块中
在这里插入图片描述

进入SrvNetAllocateBuffe后他会先判断SrvDisableNetBufferLookAsideList是否为真,或者,参数1即要分配的内存大小是否大于0x100100
如果一方成立就进入if在判断参数1是否大于0x100100如果大于的话就返回失败,如果仅仅是SrvDisableNetBufferLookAsideList为真那就调用SrvNetAllocateBufferFromPool进行内存分配,再来看看SrvDisableNetBufferLookAsideList是如何初始化的
在这里插入图片描述

可以看出SrvDisableNetBufferLookAsideList是在函数SrvNetRefreshLanmanServerParameters中进行初始化的

在这里插入图片描述

可以看出SrvDisableNetBufferLookAsideList的值肯定为一个布尔值即真或假,SrvLibGetDWord函数会去调用ZwOpenKey打开注册表键值然后使用ZwQueryValueKey去读取注册表如果读取成功则返回一个指定值,如果读取失败则返回ZwQueryValueKey的返回值即失败原因,在我的系统里没有在注册表找到这个项,所以SrvDisableNetBufferLookAsideList的值默认为false,也就是说SrvNetAllocateBuffer的第一个if正常情况下不会去执行,顺着流程往下走可以看到
在这里插入图片描述

他会先判断参数1是否大于0x1100,然后求出到底用哪个值做SrvNetBufferLookasides的下标来获取内存,如果不大于0x1100则默认下标为0,再来看看SrvNetBufferLookasides是如何初始化的
在这里插入图片描述

进入SrvNetCreateBufferLookasides函数,一直追下去会发现PplCreateLookasideList内部其实还是调用ExInitializeLookasideListEx函数来进行LookasideList列表的初始化,我们直接进入SrvNetBufferLookasideAllocate查看分配了新的LookasideList列表的函数,这里(1<<(v3+12))+256是要分配内存的大小,根据计算此大小依次为[0x900,0x1100,0x2100,0x4100,0x8100,0x10100…0x80100]
在这里插入图片描述

SrvNetBufferLookasideAllocate在内部又调用了SrvNetAllocateBufferFromPool函数
在这里插入图片描述

在SrvNetAllocateBufferFromPool函数中调用了ExAllocatePoolWithTag函数来分配指定类型的内存
在这里插入图片描述

分配大小v7我重命名为size,然后会发现size=v6+v3=(2*(MmSizeOfMdl+8))+(lParam2 + 232)
在这里插入图片描述
在这里插入图片描述

最后要返回的数据我重命名为backdata,刚刚从ExAllocatePoolWithTag函数获取到的数据重命名为ExAllocData
可以看出backdata=&ExAllocData[lParam2+0x57]&0xFFFFFFFFFFFFFFF8ui64
在这里插入图片描述

假设lparam2为0x1100,那0x1100+0x57=0x1157,0x1157&0xFFFFFFFFFFFFFFF8ui64=0x1150,也就是说返回的数据是从ExAllocatePoolWithTag函数获取到的数据的0x1150偏移处开始的
根据上面可以总结出,SrvNetAllocateBuffer函数最后会创建一个‘结构体+数据’这种类型的一块内存,这块内存结构大致如下
在这里插入图片描述

回到srv2.sys中的Srv2DecompressData,在用SrvNetAllocateBuffer申请过内存后会调用SmbCompressionDecompress函数来解压缩数据,此函数也在srvnet.sys中,其本质上是调用RtlDecompressBufferEx2函数来进行数据解压缩的
在这里插入图片描述

这里解释一下几个重要参数,方便与Srv2DecompressData中的传入的参数一一对应

  • CompressionFormat:解压缩算法,此参数不用过多关注,他对应
  • SmbCompressionDecompress的第一个参数
  • UncompressedBuffer:解压后数据存放的缓冲区地址,对应
  • SmbCompressionDecompress的第四个参数
  • UncompressedBufferSize:解压数据缓冲区大小,对
  • SmbCompressionDecompress的第五个参数
  • CompressedBuffer:待解压数据,对应SmbCompressionDecompress的第二个参数
  • CompressedBufferSize:待解压数据大小,对应SmbCompressionDecompress的第三个参数
    返回值便是RtlDecompressBufferEx2函数的返回值
    再回到Srv2DecompressData看看是如何调用SmbCompressionDecompress的
    在这里插入图片描述

可以看出他会从*(_QWORD *)(*(_QWORD *)(v1 + 240) + 24i64) + Size.m128i_u32[3] + 16i64处获取压缩数据,经过解压放入Size.m128i_u32[3] + *(_QWORD *)(backdata + 24)backdata + 24指向刚刚SrvNetAllocateBuffer申请内存的起始位置,在这里也就是将解压后数据放入‘内存起始位置+SMB数据包offset/length’处,第六个参数v11用于接收解压后的数据大小,当SmbCompressionDecompress函数调用失败或者解压后的数据大小与SMB包中OriginalCompressedSegmentSize的值不一致时(不过如果RtlDecompressBufferEx2调用成功的话OriginalCompressedSegmentSize的值就会赋给v11),否则继续往后运行,接着往后看
在这里插入图片描述

这段代码可以解释为,如果offset/length不为0,则从(v1 + 240) + 24i64) + 16i64)处获取数据后放入(v8 + 24)指向的地址,根据分析上面SmbCompressionDecompress函数的调用可知(v1 + 240) + 24i64) + 16i64)大致指向压缩数据内存位置,(v8 + 24)指向内存起始的位置。

由于OriginalCompressedSegmentSize与Offset/Length长度我们可控,且SrvNetAllocateBuffer函数会根据他们俩来申请一块‘数据+结构体’形式的内存,我们可以申请一块较小的内存,将我们想要让重新赋值的某块内存的地址想办法构造payload填充到(v8 + 24)处,然后在momove函数执行时就会将我们想要写入的数据写入到(v8 + 24)处

Anansi_safe
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
cve-2020-0796_SMBGhost:微软SMBv3远程代码执行漏洞分析(CVE20200796)
weixin_39754411的博客
11-23 673
漏洞描述3月11日,微软发布了针对115个CVE漏洞的补丁更新,其中最引人关注的是一个针对Smb服务器/客户端的一个内存破坏漏洞,CVE编号为CVE-2020-0796,成功利用此漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行任意代码,此漏洞属于严重危害的零接触蠕虫级远程代码执行漏洞,此漏洞也被称为SMBGhost或“Coronablue。3月12日,微软正式发布漏洞通告和相关...
srv.sys蓝屏解决补丁_电脑蓝屏除了重装系统,这样做更快速
weixin_39636691的博客
12-04 2803
电脑开机蓝屏的原因很多,比如硬件故障,软件故障。大家最常用的解决方法可能就是重装系统,其实不然,解决这个问题的方法有多种,赶紧看看哪个最有效率吧~判断硬件故障或者软件故障一、是否能进入安全模式安全模式1.如果开机蓝屏,可以在屏幕出来时,选择[安全模式]并按[Enter]进入安全模式。2.如果能进安全模式,说明软件有冲突或系统故障。这时只需重装个系统就行了。二、无法进入安全模式清除灰尘1.如果进安全...
windbg分析dmp蓝屏文件_漏洞分析视角下的CVE-2020-0796漏洞
weixin_39718006的博客
11-25 731
1. 概述 2020年3月10日是微软补丁日,安全社区注意到Microsoft发布并立即删除了有关CVE-2020-0796的信息; 2020年3月11日早上,Microsoft发布了可纠正SMBv3协议如何处理特制请求的修补程序; 2020年03月12日微软发布安全公告声称Microsoft 服务器消息块 3.1.1 (SMBv3) 协议处理某些请求的方式中存在远程执行代码漏洞。成功利用此漏洞...
srv.sys不定时蓝屏,错误0x000.。。可能不是系统故障和硬件故障,
热门推荐
Jiashilin
08-28 2万+
的 可能性:1局域网蠕虫病毒 2,内存故障 解决方法:1. (a) 腾讯管家——>全盘杀毒(360管家不行), (b). 在电脑管家软件市场搜索并下载Microsoft security essentials软件,使用软件 2. 如果问题未解决,可能硬盘...
win2008文件服务器fs,Windows Server 2008 中文件服务技术的修补程序 - Windows Server | Microsoft Docs...
weixin_39624980的博客
08-12 359
Windows Server 2008 和 Windows Server 2008 R2 中的文件服务技术当前可用的修补程序列表10/23/2020本文内容本文列出了当前可供在基于 Windows Server 2008 的计算机或基于 Windows Server 2008 R2 的计算机上安装文件服务技术的用户使用的修补程序。适用于: Windows 7 Service Pack 1、Win...
文件服务器修复软件,文件服务技术的修补程序 - Windows Server | Microsoft Docs
weixin_32226023的博客
08-05 666
文件服务技术当前可用的修补程序列表10/23/2020本文内容本文列出了当前可供在基于 Windows Server 2012 或基于 R2 的 Windows Server 2012 计算机上安装文件服务技术的用户使用。适用于: Windows 10 - 所有版本,Windows Server 2012 R2原始 KB 编号: 2899011摘要文件服务提供的技术可帮助你管理存储、启用文件...
srv.sys蓝屏解决补丁_win10蓝屏终极解决大法
weixin_39656435的博客
11-20 4953
正常的电脑千篇一律、故障的电脑各有各的毛病。电脑这东西就像女朋友,毫无征兆说翻脸就翻脸,到底是系统挂了还是硬件坏了?如何排查判断,与电脑重修旧好?相信大部分人都没有清晰的思路。不用怕,小编今天就来教大家,如何自行排查解决电脑蓝屏重启的问题。为什么会蓝屏出现导致系统无法继续运行的故障就会蓝屏,这是为了保护用户数据安全,及时关闭系统,避免后续出更大的问题。99%的蓝屏,其原因并非Windows自身bu...
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
cve-2020-2551_poc.py
03-12
cve-2020-2551_poc.py
srv蓝屏解决补丁
08-17
srv蓝屏替换防到system32下,测试有效,不知道推广有没有效果
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
SAP_RECON:CVE-2020-6287,CVE-2020-6286的PoC(SAP RECON漏洞)
04-01
CVE-2020-6287,CVE-2020-6286的PoC(SAP RECON漏洞) ff! RECON(NetWeaver上的可远程利用代码)? 伙计们,真的吗? 那是您想到的最好的代号? :) 此脚本可检查SAP LM配置向导是否缺少授权检查漏洞,并且PoC...
逆向RING0工程
CharlesPrince的专栏
01-24 1398
接触RING 0之前,以为得学很多东西,一大堆驱动开发的知识。不过后来想了想,驱动壳等其他不直接访问硬件的程序为了兼容性,不可能真的直接访问硬件,也就是那些是基于硬件抽象层之上的,而且大部分使用的还是系统提供的API(RING0下使用的API称为NATIVE API)。事情一下子变简单了,除非你想通过逆向硬件厂商驱动,自己编写优化硬件或者超频程序。虽然这是纯静态分析,但是我希望通过分析整个驱动,你
win10下驱动进程保护
Anansi的博客
01-31 1万+
网上可以查到很多WIN7下的驱动后台进程保护代码,而那些代码在WIN10下并不适用,故写此篇来文章来总结我在编写WIN10下后台进程保护驱动程序的过程与经验 说起进程关闭,通常会用三种方法: 1.利用进程管理器关闭 2.打开CMD,调用taskkill指令关闭 3.调用taskkill加上-t参数,进行强行进程关闭 ...
RSA加密算法解释与C++实现
Anansi的博客
05-03 5844
最近因为一些原因对密码学产生了点兴趣,继之前用代码实现BASE64之后最近又搞起了RSA,这让我这个数学渣用从头开始学数学。。。。泪 RSA加密算法 RSA加密算法是由三位MIT大佬发现的,故RSA算法名称由来就是取他们三位名字i的首字母。 RSA算法是一种典型的不对称加密算法,说到不对称加密就会想到对称加密,在密码学加密算法大致可分为两种:对称加密与不对称加密。 对称加密 什么是对称加密,简单来...
win10_x64下shellcode提权工具(SYSTEM权限)
Anansi的博客
11-22 3418
之前写过一篇远线程注入与一篇shellcode编写的文章: Win10_X64远线程注入dll(非CreateRemoteThread) Windows 10_X64环境shellcode编写 上一次是通过远线程注入,将指定的dll模块加载进我们指定的进程,这一次将我们写好的shellcode注入进指定的进程,从而执行任意代码。 首先我们要清楚如何获取一个具有system权限的cmd,想要获取一个具有system权限的cmd,首先这个cmd得是一个具有system权限进程的子进程,windows下具有sys
C++ 实现Base64编码
Anansi的博客
03-25 3082
Base64编码 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法,Base64编码是从二进制到字符的过程,可用于在HTTP环境下传递较长的标识信息。采用Base64编码具有不可读性,需要解码后才能阅读。 编码实现过程 想要实现对字符串的base64编码,首先肯定要知道它的编码过程,在进行编码前首先要设置码表 const u_ch...
Win10_X64远线程注入dll(非CreateRemoteThread)
Anansi的博客
09-27 2983
谈到远线程注入,首先肯定会想到使用CreateRemoteThread,但这个API无法对系统进程进行注入,而且根据我个人的验证发现这个函数在win10下也无法正常将dll注入进记事本进程(淦!)。好在在我的不懈努力的百度、google下发现了另一种思路,那就是使用ZwCreateThread这个内核API,CreateRemoteThread在底层也调用了这个API,CreateRemoteThread底层会调用内核函数ZwCreateThreadEx,而系统调用此函数时,如果发现是系统进程,会把函数的第
cve-2020-0796漏洞逆向分析
最新发布
11-21
CVE-2020-0796漏洞,也被称为"SMBGhost",是一个影响微软Windows操作系统的严重漏洞。该漏洞存在于Windows 10版本1903和1909之间的SMBv3协议中,攻击者可以利用此漏洞执行远程代码,从而控制受感染的系统。 对CVE-2020-0796漏洞进行逆向分析是为了深入了解其工作原理及漏洞利用的具体细节。逆向分析通常包括静态和动态分析两个方面。 首先,静态分析是通过对漏洞程序的反汇编、分析源代码或查看二进制文件等方法来了解漏洞的工作原理。这可以帮助研究人员识别漏洞的关键功能、漏洞的出现位置以及可能的漏洞利用方式。 其次,动态分析是在虚拟化环境中或实际受感染的系统上运行漏洞程序,监视其行为并捕获关键信息。通过动态分析,研究人员能够观察到漏洞利用的具体过程,从而理解攻击者是如何利用漏洞来执行远程代码或获取系统权限的。 在逆向分析过程中,研究人员需要使用一些特定的工具,如反汇编器、调试器以及网络分析工具等。这些工具可以帮助研究人员获取漏洞程序的内部结构、系统调用、网络通信等关键信息,有助于理解漏洞的利用方式和脆弱点。 通过逆向分析CVE-2020-0796漏洞,能够帮助安全专业人员更好地理解漏洞的工作原理,从而开发相应的补丁或安全措施以防止攻击者利用该漏洞入侵系统。此外,逆向分析还有助于提高安全分析人员的能力和知识,进一步提升网络安全的整体水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值