CVE-2020-0796本地提权利用深入分析

最新推荐文章于 2022-03-29 10:00:57 发布
最新推荐文章于 2022-03-29 10:00:57 发布
阅读量677 收藏 1
点赞数
分类专栏: 二进制 文章标签: smb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44045581/article/details/106801007
版权

CVE-2020-0796本地提权利用深入分析

前言

2020年3月份,微软发布了关于SMBv3协议的远程代码执行漏洞(CVE-2020-0796),攻击者可通过发送构造的恶意数据包,执行任意代码。近日网上出现了本地提权利用,借用这个机会,深入分析下漏洞的具体细节。
此漏洞是由于SMB不能正确处理压缩数据包造成的,已确定漏洞存在于文件srv2.sys中。srv2.sys中处理压缩包数据的函数srv2!Srv2DecompressData没有正确校验数据包中OriginalCompressedSegmentSize和Offset/Length字段,导致整数溢出,触发漏洞。

压缩数据包解析

根据微软给的SMB2协议文档,COMPRESSION_TRANSFORM_HEADER的结构如下图
在这里插入图片描述
ProtocolId:4字节,固定为0x424D53FC
OriginalComressedSegmentSize:4字节,原始的未压缩数据大小
CompressionAlgorithm:2字节,压缩算法
Flags :2字节
Offset/Length:根据Flags的取值为Offset或者Length,Offset表示数据包中压缩数据相对于当前结构的偏移

此次构造的压缩数据包分为4个部分:
在这里插入图片描述
压缩数据包具体内容如下:
在这里插入图片描述
OriginalComressedSegmentSize设置为0Xffffffff
Offset为0x10
其中两个8字节的0xFFFFFFFFFF就是未压缩数据,表示将要修改的权限值。
最后为0x1108字节‘A’+token地址。

动态分析

Windbg双机调试,在函数srv2!Srv2DecompressData处下断点,并运行本地提权程序。找到出现整数溢出位置:
在这里插入图片描述
由于OriginalComressedSegmentSize为0xffffffff,与Offset相加后,结果变小,两者相加的和作为参入进入srvnet!SrvNetAllocateBuffer函数,申请一段内存空间。
在这里插入图片描述
记住这些返回的地址,对下面的分析很重要。
接着运行到解压数据的函数srvnet!SmbCompressionDecompress,就会发现解压的数据并没有放到返回的地址起始处
在这里插入图片描述
可以看到的是解压出来的数据是0x1108字节‘A’+token地址。接着向下运行
在这里插入图片描述
这里检查了Offset字段,条件成立进入srv2!memcpy函数,观察srv2!memcpy函数的参数发现这两个地址分别是两个8字节的0xFFFFFFFFFF的地址和tocken地址。步过此函数发现tocken已经改变
在这里插入图片描述
这里具体是怎么实现的呢,通过对比发现,在解压压缩数据后,token地址覆盖了另一个地址。而这个地址就是压缩数据的标志位
在这里插入图片描述
srv2!memcpy函数是为了将未压缩的部分放到原位,由于申请的空间太小,解压出来的数据和token地址将原来的地址覆盖,就完成了权限的提升。

SrvNetAllocateBuffer函数分析

函数分析主要部分:
在这里插入图片描述
在这里插入图片描述
根据实际情况,传入的参数位0xf,则使用SrvNetBufferLookasides分配内存,这个函数用于有效地为驱动程序保留一组可重用的、固定大小的缓冲区。而SrvNetBufferLookasides函数初始化在SrvNetCreateBufferLookasides中,而SrvNetCreateBufferLookasides又调用了SrvNetBufferLookasideAllocate分配内存,SrvNetBufferLookasideAllocate根据参数分配一些固定的内存空间,[‘0x1100’,‘0x2100’,‘0x4100’,‘0x8100’,‘0x10100’,‘0x20100’,‘0x40100’,‘0x80100’,‘0x100100’]
压缩出来的数据和分配的内存空间布局可参考下图:
在这里插入图片描述

提权方法解析

在Windows中运行的每个进程都与一个访问令牌相关联,该令牌决定允许进程做什么。令牌是一个复杂的数据结构,具有一个关键部分,它决定允许给定进程执行哪些操作.
这里使用的是修改令牌以提高权限,在windbg中查看结构
在这里插入图片描述
在这里插入图片描述
在偏移0x40处的_SEP_TOKEN_PRIVILEGES这个结构表示了所有权限,置1表示启用权限,置0表示禁用权限。如果能够写0xffffffffffffffff在结构的所有三个字段中,当前进程都将获得所有权限,任何子进程都将继承这些权限。
想要修改权限就要找到这些令牌的位置,API NtQuerySystemInformation可获取到句柄关联的每个内核对象的地址信息,根据当前进程句柄查找令牌句柄的信息条目,并获取内核地址。

Todd_Q
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-0796 SMBv3漏洞蓝屏复现+提权
anlalu233的博客
04-04 4270
1.漏洞简介 Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品,Microsoft Windows是一套个人设备使用的操作系统,Microsoft Windows Server是一套服务器操作系统,Server Message Block是其中的一个服务器信息传输协议。 微软公布了在Server Message Blo...
CVE-2020-0796 漏洞检测及利用工具
热门推荐
06-08 2万+
2020年3月12日,微软正式发布CVE-2020-0796高危漏洞补丁后,时隔数月,远程利用PoC代码已经被公布,这也意味着这场漏洞风波即将告一段落了。本文汇总了多个CVE-2020...
CVE-2020-0796
m_de_g的博客
10-08 6564
CVE-2020-0796(永恒之黑) 一.对应出现的版本 永恒之黑的对象为采用Windows 10 1903之后的所有终端节点,如Windows家用版、专业版、企业版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均为潜在攻击目标,Windows 7不受影响。 原理为由于SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。 首先下载 CVE-2020
CVE-2020-0796 漏洞分析报告(最详细)
RatOnSea的博客
05-28 9768
CVE-2020-0796 漏洞分析报告 1 漏洞介绍 1.1 名称 微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796 1.2 影响范围 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Se
CVE-2020-0796 - SMBv3漏洞复现与提权
yangbz123的博客
06-06 4804
CVE-2020-0796 - SMBv3提权 微软发布安全公告,发布了一个最新的SMB远程代码执行漏洞( CVE-2020-0796 )“永恒之黑”,攻击者可以利用漏洞进行提权实现代码执行。 提权准备工作 1、首先下载扫描器,进行检测 下载地址: https://github.com/ollypwn/SMBGhost python3 scanner.py <ip> 将Windows目标机的防火墙关闭,让攻击机可以ping通ip 可以看到 2、下载好可利用的POC https://gi
CVE-2020-0796:CVE-2020-0796-Windows SMBv3 LPE攻击#SMBGhost
03-19
CVE-2020-0796:Windows SMBv3 LPE攻击#SMBGhost】是一个重要的安全漏洞,涉及到微软的Server Message Block (SMB) 协议的第3版。SMB是一个用于在局域网内共享文件、打印机和其他资源的协议。这个漏洞,也被称作...
exploit-CVE-2020-28926
03-04
标题“exploit-CVE-2020-28926”暗示了这是一个关于利用特定漏洞的程序或脚本,具体来说是针对CVE-2020-28926的安全漏洞。CVE(Common Vulnerabilities and Exposures)是国际上广泛使用的一种公开安全漏洞和暴露的...
CVE-2015-1701:APT攻击中使用的Win32k LPE漏洞
01-30
安全研究人员发现了一个严重的问题,即CVE-2015-1701,这是一个针对Windows系统的本地权限提升(Local Privilege Escalation, LPE)漏洞,特别被高级持续性威胁(Advanced Persistent Threat, APT)所利用。...
CVE-2013-3660-分析改进1
08-03
总之,CVE-2013-3660是一个严重的本地提权漏洞,尤其在x64平台上,编写有效的EXP需要深入理解Windows内核、内存管理以及x64架构。通过细致的分析和测试,可以编写出100%成功的EXP,这对于安全研究和防御措施的实施...
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 .pdf
09-05
一旦配置完成,启动Dubbo服务,攻击者就可以通过构造特定的POST请求,利用这个反序列化漏洞。 针对此类安全问题,企业应当重视安全测试和安全建设,特别是金融和网络信息安全领域。定期进行渗透测试,监控和修复...
SMB-2
H2SO2的专栏
05-14 1329
Samba服务工作原理Samba服务工作原理Samba服务的具体工作过程如图所示。① 首先客户端发送一个SMB negprot请求数据报,并列出它所支持的所有SMB协议版本。服务器收到请求信息后响应请求,并列出希望使用的协议版本。如果没有可使用的协议版本则返回0XFFFFH,结束通信。② 协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SesssetupX请求
永恒之黑(CVE-2020-0796 微软SMBv3协议远程代码执行漏洞)
曹振国的博客
07-26 1986
文章目录一、漏洞简介:二、影响版本:三、实验环境:四、漏洞复现1.下载CVE-2020-0796漏洞扫描工具,对网段进行扫描2.蓝屏复现3.远程执行复现 一、漏洞简介: 3月12日,微软更新安全通告针对Windows SMBv3客户端/服务器远程代码执行漏洞紧急发布了安全补丁,确定该漏洞编号为CVE-2020-0796。 Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞。攻击者可以精心构造数据包发送到SMB服务器,无需经过身份
【漏洞复现】CVE-2020-0796永恒之黑漏洞复现
qq_45244158的博客
03-29 1万+
文章目录一、漏洞描述二、影响版本三、漏洞检测四、漏洞复现环境五、(1)漏洞利用之蓝屏五、(2)漏洞利用之本地提权五、(3)漏洞利用之反弹shell1、使用msfvenom生成payload2、替换payload3. 开启msf监听模块4. 运行exploit.py脚本,发起攻击反弹shell5. 执行成功,查看监听的地方,成功得到shell六、修复建议1.安装官方补丁2.禁用SMBv3压缩3.设置防火墙策略关闭相关端口4.通过IP安全策略屏蔽危险端口,bat执行添加防火墙策略,关闭危险服务 一、漏洞描述.
CVE-2020-0796 Windows SMBv3 LPE Exploit POC 分析
晓得哥的博客
04-02 1347
作者:SungLin@知道创宇404实验室 时间:2020年4月2日 原文地址:https://paper.seebug.org/1164/ 英文版本:https://paper.seebug.org/1165/ 0x00 漏洞背景 2020年3月12日微软确认在Windows 10最新版本中存在一个影响SMBv3协议的严重漏洞,并分配了CVE编号CVE-2020-0796,该漏洞可能允许攻击者在...
CVE-2020-0769逆向分析
Anansi的博客
09-13 643
受影响版本: 系统 版本 Microsoft Windows 10 Windows 10 1607 Windows 10 1709 Windows 10 1803 Windows 10 1809 Windows 10 1903 Windows 10 1909 Windows 7 SP1 Windows 8.1 Windows RT 8.1 Windows Server 2008 SP2 Windows Server 2008 R2 SP1 Windows Server 2012 Windows Se
CVE-2020-0796漏洞复现拿到目标shell权限(附POC)-报错解决-爬坑记录-绕坑必看-永恒之黑复现-win10漏洞
byt8563的博客
07-13 5149
本实验仅供学习参考,请勿非法利用! 前言 最近终于成功的复现了下之前比较火的“永恒之黑”,最近正好无意间找到了获取目标Shell的POC。坑点较多(各种报错+蓝屏),本次记录主要是为正在“爬坑”的同学做些参考,希望对您有所帮助。 报错:failed to find PML4 self reference entry! 报错:physical read primitive failed! 蓝屏代码: 漏洞描述 2020年3月,微软公布SMB远程代码执行漏洞(CVE-2020-0796)又称“永恒之黑”,该漏洞
CVE-2020-0796 漏洞原理
子曰小玖的博客
04-08 1767
https://www.synacktiv.com/posts/exploit/im-smbghost-daba-dee-daba-da.html This blogpost was created due to a mistake from Microsoft, releasing publicly an advance warning for CVE-2020-0796. CVE-2020-...
MS17-010漏洞复现(x32)以及分析
r250414958的博客
12-17 6079
复现可以使用两种方式 1.ShadowBroker释放的NSA工具 2.kali的Metasploit 第一种网上有很多教程 https://www.freebuf.com/sectool/132076.html https://www.cnblogs.com/peterpan0707007/p/7450668.html 都说得很详细,我自己也实现了一遍,不过不便于我们后面分析 所以接下来介绍第二...
【检测工具】奇安信CVE-2020-0796快速扫描检测工具使用手册
安全解决方案
03-13 8193
奇安信 CVE-2020-0796 漏洞快速扫描检测工具是奇安信公司针对“Microsoft SMBv3 远程代码执行漏洞 CVE-2020-0796”推出的一款远程扫描工具。 一. 工具说明: 支持IP段批量扫描检测“CVE-2020-0796”漏洞功能。适合对局域网全网段扫描,以快速找到局域网内存在该漏洞的全部终端设备。 二、文件信息: 文件下载地址:http://dl.q...
cve-2020-0796漏洞逆向分析
最新发布
11-21
CVE-2020-0796漏洞进行逆向分析是为了深入了解其工作原理及漏洞利用的具体细节。逆向分析通常包括静态和动态分析两个方面。 首先,静态分析是通过对漏洞程序的反汇编、分析源代码或查看二进制文件等方法来了解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值