CVE-2020-0796 SMB远程代码执行漏洞 分析、验证及加固

最新推荐文章于 2025-09-22 06:02:41 发布
原创 最新推荐文章于 2025-09-22 06:02:41 发布 · 9.3k 阅读 · 76 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #运维 #windows

CVE-2020-0796是微软SMB协议中的严重远程代码执行漏洞,影响Windows多个版本。攻击者可利用此漏洞在无需权限的情况下执行任意代码。微软已发布补丁,建议禁用SMBv3压缩或封禁445端口作为临时措施。

 

0x01漏洞描述

CVE-2020-0796是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞,该漏洞未包含 在微软本月发布的补丁中,是在补丁的序言中泄露的。目前微软尚未发布任何技术详情,思科Talos团队和Fortinet公司提供了简短概述,目前尚不清楚该漏洞的补丁何时发布。
Fortinet公司指出,该漏洞是“微软 SMB 服务器中的一个缓冲区溢出漏洞”,严重等级为最高评分,“该漏洞由易受攻击的软件错误地处理恶意构造的压缩数据包而触发。远程、未经认证的攻击者可利用该漏洞在该应用程序的上下文中执行任意代码。”

      漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。 
思科Talos博客文章也给出了类似描述,不过随后将其删除。

思科指出,“利用该漏洞可导致系统遭蠕虫攻击,也就是说漏洞可轻易地在受害者之间传播。”

0x02漏洞编号

CVE-2020-0796

0x03漏洞等级

严重

0x04影响范围

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1909 (Server Core installation)

0x05漏洞原理

    漏洞发生在srv2.sys中,由于SMB没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法.最终导致整数溢出。

SMB v3中支持数据压缩,如果SMB Header中的ProtocolId为0x424D53FC也就是0xFC, ‘S’, ‘M’, ‘B’.那么就说明数据是压缩的,这时smb会调用压缩解压处理的函数.

首先SMB会调用srv2!Srv2ReceiveHandler函数接收smb数据包,并根据ProtocoIId设置对应的处理函数。


__int64 __fastcall Srv2ReceiveHandler(__int64 a1, void *Src, __int64 a3, unsigned int a4, unsigned int *a5, char *Srca, struct _SLIST_ENTRY *a7, _QWORD *a8)
{
    ...
    //
    // 这里判断头部ProtocolId
    //
     if ( **((_DWORD **)&v20[15].Next[1].Next + 1) == 'BMS\xFC' )
      {
        if ( KeGetCurrentIrql() > 1u )
        {
          v20[14].Next = (_SLIST_ENTRY *)v11;
          v20[2].Next = (_SLIST_ENTRY *)Srv2DecompressMessageAsync;
          v43 = HIDWORD(v20->Next) == 5;
          *((_DWORD *)&v20[3].Next + 2) = 0;
          if ( v43 )
          {
            LOBYTE(v71) = 1;
            LOBYTE(v35) = 1;
            SRV2_PERF_ENTER_EX(&v20[32].Next + 1, v35, 307i64, "Srv2PostToThreadPool", (_DWORD)v71);
          }
          v44 = *((_QWORD *)&v20[3].Next[8].Next + 1);
          v45 = *(_QWORD *)(v44 + 8i64 * KeGetCurrentNodeNumber() + 8);
          if ( !ExpInterlockedPushEntrySList((PSLIST_HEADER)(v45 + 16), v20 + 1) && *(_WORD *)(v45 + 66) )
            RfspThreadPoolNodeWakeIdleWorker(v45);
          goto
最低0.47元/天 解锁文章
cve-2020-0796
y@n1n的博客
03-05 356
一.漏洞概述 1.漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。 2.影响范围  适用于32位系统的Windows 10版本1903  Windows 10 1903版(用于基于x64的系统)  Windows 10 1903版(用于基于ARM64的系统)  Windows Server 1903版(服务器核
CVE-2020-0796 WIN10 永恒之黑漏洞复现
干铮的博客
08-14 1820
1.禁用windows update 2.关闭windows防火墙 3.主机发现 Vulnerable 代表易攻击 也可以把ip改为 10.3.139.0/24扫描网段 4.用msfvenom生成python类型的shellcode 5.复制所有值,然后将buf替换成USER_PAYLOAD,然后粘贴到exp文件中替换掉之前的 6.MSF监听4444端口 use exploit/multi/handler set payload windows/x64...
CVE-2020-0796 漏洞分析报告(最详细)
热门推荐
RatOnSea的博客
05-28 1万+
CVE-2020-0796 漏洞分析报告 1 漏洞介绍 1.1 名称 微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796 1.2 影响范围 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Se
Grafana 和 Openssh 高危漏洞修复
最新发布
weixin_55010563的博客
09-22 493
本次扫描发现Grafana和Openssh存在多个高危漏洞(Grafana涉及CVE-2023-3128等4个漏洞,Openssh涉及CVE-2023-38408等6个漏洞)。修复方案包括:1)升级Grafana至10.4.0版本;2)针对Openssh,需通过源码编译升级至9.5+版本,重点介绍了在麒麟系统上的详细升级步骤,包括版本备份、telnet应急方案准备、源码编译安装流程及配置调整等注意事项,并提供了测试验证方法。特别强调升级前需做好回退方案,确保系统可恢复性。
CVE-2020-0796 SMB远程代码执行漏洞分析验证加固
Adminxe的博客
06-14 7438
0x00 前言 最近一段时间一直忙,挺火的CVE-2020-0796 (永恒之黑)都没来的及复现,今天趁着网快,赶快把漏洞系统下载下,并且准备了 检测 payload 、蓝屏 payload 、提权payload、命令执行payload,复现一波,相比起来,只是payload不同而已,来实现不同的功能,下面进行分析。 0x01 漏洞描述 漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远...
CVE-2020-0796
m_de_g的博客
10-08 7300
CVE-2020-0796(永恒之黑) 一.对应出现的版本 永恒之黑的对象为采用Windows 10 1903之后的所有终端节点,如Windows家用版、专业版、企业版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均为潜在攻击目标,Windows 7不受影响。 原理为由于SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。 首先下载 CVE-2020
永恒之黑(CVE-2020-0796漏洞验证
EnerY3的博客
12-13 1537
CVE-2020-0796,也被称为“永恒之黑”,是一个严重的远程代码执行漏洞,影响了某些版本的Microsoft Windows操作系统。因此,此漏洞可能导致未经授权的远程访问和对受影响系统的完全控制。本文档中的信息不得用于未经授权的任何活动,包括但不限于未经授权的攻击行为。任何使用本文档中的信息进行未经授权的活动将违反法律,并可能导致法律后果。要保护你的系统不受这个漏洞的影响,你应该尽快安装适用于你系统版本的最新更新。请注意,本文档中的信息可能已过时,因为软件和系统可能已经修复了相关漏洞
CVE-2020-0796 SMB 远程代码执行漏洞分析验证加固
m0_47635965的博客
05-13 389
0x01漏洞描述 CVE-2020-0796是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞,该漏洞未包含 在微软本月发布的补丁中,是在补丁的序言中泄露的。目前微软尚未发布任何技术详情,思科Talos团队和Fortinet公司提供了简短概述,目前尚不清楚该漏洞的补丁何时发布。Fortinet公司指出,该漏洞是“微软 SMB 服务器中的一个缓冲区溢出漏洞”,严重等级为最高评分,“该漏洞由易受攻击的软件错误地处理恶意构造的压缩数据包而触发。远程、未经认证的攻击者可利用该漏洞在该应用程序的上下文中执行任意代码。
SMB服务远程代码执行漏洞CVE-2020-0796加固指南
乐大厨串串香飘万里
10-24 3369
1SMB服务远程代码执行漏洞CVE-2020-0796)高Windows
SMBv3远程代码执行漏洞CVE-2020-0796防护指南
CVE-2020-0796,也被称为“永恒之黑”或“SMBGhost”,是一个存在于Windows SMBv3服务器和客户端实现中的远程代码执行漏洞SMB(Server Message Block)是一种协议,用于在Windows网络中实现文件和打印服务的共享。...
微软紧急发布SMBv3协议漏洞-CVE-2020-0796验证、攻击演示、修复和扫描源代码
qq_34801745的博客
03-14 1880
微软紧急发布SMBv3协议漏洞-CVE-2020-0796验证与修复 ** 描述:Microsoft服务器消息块3.1.1(SMBv3)协议处理某些请求的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。 为了利用针对服务器的漏洞,未经身份验证的攻击者可以将特制数据包发送到目标SMBv3服务器。若要利用针对客户端的漏洞,未经身份验证的攻击者将需要配...
CVE-2020-0796-POC.py
03-19
微软SMBv3远程代码执行漏洞SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaCry等勒索蠕虫利用的可能,攻击者可以构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击,对存在该漏洞Windows主机造成严重威胁。
CVE-2020-0796.py
01-04
CVE-2020-0796漏洞poc,遵守pocsuite3标准
win 漏洞CVE-2020-0796
weixin_44664530的博客
05-15 495
漏洞影响版本: Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version
永恒之黑 CVE-2020-0796
qq_46437017的博客
06-20 1341
永恒之黑 CVE-2020-0796漏洞复现
cve-2020-0796_CVE20200796(下)
weixin_39921087的博客
11-30 200
动态调试在我们运行POC之前,首先使用windbg对srv2!Srv2DecompressData函数下好断点,时候运行系统,运行POC。程序段下来之后在srvnet!SmbCompressionDecompress函数处下个断点,运行。通过上一篇文章的静态分析我们知道了srvnet!SmbCompressionDecompress的参数如下所示:1.压缩算法ecx1导致最后调用nt!R...
永恒之黑(CVE-2020-0796
m0_57379855的博客
04-01 5437
永恒之黑(CVE-2020-0796CVE-2020-0796 永恒之黑漏洞 CVE-2020-0796 永恒之黑漏洞 永恒之黑漏洞与“永恒之蓝”漏洞极为相似,都是利用Windows SMB漏洞远程攻击获取系统最高权限。 漏洞危害等级:高危 “永恒之黑”漏洞高危之处在于对SMB客户端的攻击,攻击者可以通过构造一个“特制”的网页、压缩包、共享目录、OFFICE文档等,向攻击目标发送,一旦被攻击者打开则瞬间触发漏洞受到攻击。 漏洞成因: CVE-2020-0796 漏洞存在于受影响版本的 Windows 驱动
CVE-2020-0796 检测及利用工具
qq_45300786的博客
10-26 425
https://www.cnblogs.com/xiaozi/p/13062533.html
【亲测免费】 SMBGhost (CVE-2020-0796): 自动化利用与检测工具
gitblog_00093的博客
06-08 594
SMBGhost (CVE-2020-0796): 自动化利用与检测工具 1、项目介绍 SMBGhost 是一个Python程序,用于自动化利用和检测著名的SMBGhost漏洞CVE-2020-0796)。该漏洞是由于微软的Server Message Block (SMB) 协议存在缺陷,可能导致远程代码执行。这个开源项目由Alberto Barriuso创建,整合了chompie1337的工...
评论 87
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值