CVE-2020-0796漏洞复现

lollipop

0x01漏洞概述

近日,微软公布了在Server Message Block 3.0(SMBv3)中发现的“蠕虫型”预授权远程代码执行漏洞。目前该漏洞详细的官方补丁还未被微软放出。该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的,它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。漏洞的技术细节已经公开,但安全公司Cisco Talos和Fortinet在其网站上发布了此问题的描述。该漏洞是由SMBv3处理恶意制作的压缩数据包,远程未经认证攻击者可能利用此漏洞在应用程序的上下文中执行任意代码。反正这辈子都不可能找到0day了,那么我就来复现一下吧。

0x02复现

文章结构为
·漏洞检测
·EXP打蓝屏
·EXP本地提权
·相关工具下载
目前网上公布的影响版本为,大家根据自己操作系统型号赶紧打补丁或者关闭相应服务端口。

Windows 10 1903版本(用于基于x32的系统)
Windows 10 1903版(用于基于x64的系统)
Windows 10 1903版(用于基于ARM64的系统)
Windows Server 1903版(服务器核心安装)
Windows 10 1909版本(用于基于x32的系统)
Windows 10版本1909(用于基于x64的系统)
Windows 10 1909版(用于基于ARM64的系统)
Windows Server版本1909(服务器核心安装)

使用win+R输入winver查看版本信息,本次使用的靶机版本信息如下

大佬的python3版本poc,用法:python3 scanner.py [ip],项目地址:https://github.com/ollypwn/SMBGhost

import socket
import struct
import sys
from netaddr import IPNetwork

pkt = b'\x00\x00\x00\xc0\xfeSMB@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\x00\x08\x00\x01\x00\x00\x00\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00x\x00\x00\x00\x02\x00\x00\x00\x02\x02\x10\x02"\x02$\x02\x00\x03\x02\x03\x10\x03\x11\x03\x00\x00\x00\x00\x01\x00&\x00\x00\x00\x00\x00\x01\x00 \x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\n\x00\x00\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00'

subnet = sys.argv[1]
for ip in IPNetwork(subnet):
    sock = socket.socket(socket.AF_INET)
    sock.settimeout(3)
    try:
        sock.connect(( str(ip),  445 ))
    except:
        sock.close()
        continue
    sock.send(pkt)
    nb, = struct.unpack(">I", sock.recv(4))
    res = sock.recv(nb)
    if res[68:70] != b"\x11\x03" or res[70:72] != b"\x02\x00":
        print(f"{ip} Not vulnerable.")
    else:
        print(f"{ip} Vulnerable")

实验环境:
物理机:win10 IP:1.1.1.1
靶机:win10-v1903 IP:1.1.1.3
仅主机模式

漏洞检测

使用POC探测是否存在漏洞

显示Vulnerable说明漏洞存在,接下来使用某信的EXP攻击,成功蓝屏(忽略报错)。

EXP打蓝屏


蓝屏的盖,好喝的盖~,静等大佬给出命令执行的EXP。

EXP本地提权

该EXP还可以在靶机本地进行提权操作,使用普通权限在靶机本地运行EXP,输入IP:127.0.0.1
这时在弹出的终端中再查看权限,为system权限

环境工具下载

靶机下载地址
链接:https://pan.baidu.com/s/1fI7C4C2xZWL2e7QXynesBQ 
提取码:4kys 
蓝屏EXP下载地址
链接:https://pan.baidu.com/s/16i99wNbE-bzkLCnV8V38Aw 
提取码:z6iu

发表评论

电子邮件地址不会被公开。 必填项已用*标注