CVE-2020-0796 SMB远程代码执行漏洞(分析、验证及加固)

最新推荐文章于 2025-10-24 09:50:12 发布
原创 最新推荐文章于 2025-10-24 09:50:12 发布 · 7.4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#永恒之黑 #CVE-2020-0796 #漏洞复现 #渗透测试 #系统安全

本文深入分析了CVE-2020-0796(永恒之黑)漏洞,详细解释了其在SMB3.1.1协议中的工作原理,展示了如何通过不同payload实现检测、提权、蓝屏和命令执行等功能,同时提供了漏洞修复建议。

0x00 前言

     最近一段时间一直忙,挺火的 CVE-2020-0796 (永恒之黑)都没来的及复现,今天趁着网快,赶快把漏洞系统下载下,并且准备了 检测 payload 、蓝屏 payload 、提权payload、命令执行payload,复现一波,相比起来,只是payload不同而已,来实现不同的功能,下面进行分析。

0x01 漏洞描述      

     漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。

0x02 漏洞危害等级        

0x03 影响版本

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)

测试机ip:192.168.1.159

0x04 漏洞原理

    漏洞发生在srv2.sys中,由于SMB没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法.最终导致整数溢出。

SMB v3中支持数据压缩,如果SMB Header中的ProtocolId为0x424D53FC也就是0xFC, ‘S’, ‘M’, ‘B’.那么就说明数据是压缩的,这时smb会调用压缩解压处理的函数.

首先SMB会调用srv2!Srv2ReceiveHandler函数接收smb数据包,并根据ProtocoIId设置对应的处理函数。

__int64 __fastcall Srv2ReceiveHandler(__int64 a1, void *Src, __int64 a3, unsigned int a4, unsigned int *a5, char *Srca, struct _SLIST_ENTRY *a7, _QWORD *a8)
{
    ...
    //
    // 这里判断头部ProtocolId
    //
     if ( **((_DWORD **)&v20[15].Next[1].Next + 1) == 'BMS\xFC' )
      {
        if ( KeGetCurrentIrql() > 1u )
        {
          v20[14].Next = (_SLIST_ENTRY *)v11;
          v20[2].Next = (_SLIST_ENTRY *)Srv2DecompressMessageAsync;
          v43 = HIDWORD(v20->Next) == 5;
          *((_DWORD *)&v20[3].Next + 2) = 0;
          if ( v43 )
          {
            LOBYTE(v71) = 1;
            LOBYTE(v35) = 1;
            SRV2_PERF_ENTER_EX(&v20[32].Next + 1, v35, 307i64, "Srv2PostToThreadPool", (_DWORD)v71);
          }
          v44 = *((_QWORD *)&v20[3].Next[8].Next + 1);
          v45 = *(_QWORD *)(v44 + 8i64 * KeGetCurrentNodeNumber() + 8);
          if ( !ExpInterlockedPushEntrySList((PSLIST_HEADER)(v45 + 16), v20 + 1) && *(_WORD *)(v45 + 66) )
            RfspThreadPoolNodeWakeIdleWorker(v45);
          goto LABEL_168;
            }
        }
}

最低0.47元/天 解锁文章
漏洞复现】Windows SMB远程代码执行漏洞CVE-2020-0796
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-23 1669
2020年3月10日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中,攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。
cve-2020-0796_SMBGhost:微软SMBv3远程代码执行漏洞分析CVE20200796
weixin_39754411的博客
11-23 893
漏洞描述3月11日,微软发布了针对115个CVE漏洞的补丁更新,其中最引人关注的是一个针对Smb服务器/客户端的一个内存破坏漏洞CVE编号为CVE-2020-0796,成功利用此漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行任意代码,此漏洞属于严重危害的零接触蠕虫级远程代码执行漏洞,此漏洞也被称为SMBGhost或“Coronablue。3月12日,微软正式发布漏洞通告和相关...
CVE-2020-0796 SMB远程代码执行漏洞 分析验证加固
Adminxe的博客
05-15 9370
0x01漏洞描述 CVE-2020-0796是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞,该漏洞未包含 在微软本月发布的补丁中,是在补丁的序言中泄露的。目前微软尚未发布任何技术详情,思科Talos团队和Fortinet公司提供了简短概述,目前尚不清楚该漏洞的补丁何时发布。 Fortinet公司指出,该漏洞是“微软 SMB 服务器中的一个缓冲区溢出漏洞”,严重等级为最高评分,“该漏洞由易...
CVE-2020-0796 WIN10 永恒漏洞复现
干铮的博客
08-14 1823
1.禁用windows update 2.关闭windows防火墙 3.主机发现 Vulnerable 代表易攻击 也可以把ip改为 10.3.139.0/24扫描网段 4.用msfvenom生成python类型的shellcode 5.复制所有值,然后将buf替换成USER_PAYLOAD,然后粘贴到exp文件中替换掉之前的 6.MSF监听4444端口 use exploit/multi/handler set payload windows/x64...
Zabbix 命令执行漏洞复现:原理分析+环境搭建+渗透实践(CVE-2020-11800)
最新发布
mooyuan的网络安全博客
10-24 1283
本文详细分析了Zabbix的CVE-2020-11800远程代码执行漏洞,该漏洞存在于Zabbix 3.0.31及之前版本中,CVSS评分9.8。漏洞利用Zabbix Server的自动注册功能未经验证处理恶意请求的特性,通过10051端口注入命令并执行。文章提供了完整的Docker环境搭建方法,并演示了渗透测试过程:首先配置Zabbix的自动注册功能,然后利用PoC脚本发送伪造请求,最终在服务器上成功创建文件验证RCE。整个攻击过程无需认证,直接通过10051端口实现代码执行,危害性极大。
win10 永恒复现
niqiu320的博客
05-31 2266
永恒复现 一:漏洞简介 漏洞原理: SMB远程代码执行漏洞 SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受客攻击的目标系统只需开机在线即可能被入侵。 Windows 10和Windows Server 2016引入了SMB 3.1.1 。本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数
CVE-2020-0796 漏洞复现
迷风小白
06-05 3516
0x00 漏洞介绍 2020年3月10日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabling SMBv3 Compression),公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中,攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。 0x01
cve-2020-0796_SMB远程代码执行漏洞CVE20200796复现
weixin_39997795的博客
11-30 941
01 概述Microsoft服务器消息块(SMB)协议是Microsoft Windows中使用的一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的,用于在计算机间共享文件、打印机等。SMB远程代码执行漏洞CVE-2020-0796,攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。这几天尝...
CVE-2020-0796 SMB 远程代码执行漏洞分析验证加固
m0_47635965的博客
05-13 391
0x01漏洞描述 CVE-2020-0796是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞,该漏洞未包含 在微软本月发布的补丁中,是在补丁的序言中泄露的。目前微软尚未发布任何技术详情,思科Talos团队和Fortinet公司提供了简短概述,目前尚不清楚该漏洞的补丁何时发布。Fortinet公司指出,该漏洞是“微软 SMB 服务器中的一个缓冲区溢出漏洞”,严重等级为最高评分,“该漏洞由易受攻击的软件错误地处理恶意构造的压缩数据包而触发。远程、未经认证的攻击者可利用该漏洞在该应用程序的上下文中执行任意代码。
SMB服务远程代码执行漏洞CVE-2020-0796加固指南
乐大厨串串香飘万里
10-24 3378
1SMB服务远程代码执行漏洞CVE-2020-0796)高Windows。
SMBv3远程代码执行漏洞CVE-2020-0796防护指南
CVE-2020-0796,也被称为“永恒”或“SMBGhost”,是一个存在于Windows SMBv3服务器和客户端实现中的远程代码执行漏洞SMB(Server Message Block)是一种协议,用于在Windows网络中实现文件和打印服务的共享。...
永恒CVE-2020-0796 微软SMBv3协议远程代码执行漏洞
曹振国的博客
07-26 2642
文章目录一、漏洞简介:二、影响版本:三、实验环境:四、漏洞复现1.下载CVE-2020-0796漏洞扫描工具,对网段进行扫描2.蓝屏复现3.远程执行复现 一、漏洞简介: 3月12日,微软更新安全通告针对Windows SMBv3客户端/服务器远程代码执行漏洞紧急发布了安全补丁,确定该漏洞编号为CVE-2020-0796。 Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞。攻击者可以精心构造数据包发送到SMB服务器,无需经过身份
cve2020-0796代码执行漏洞复现详细过程(不成功)
anlalu233的博客
06-06 5485
win10:192.168.254.129 kali:192.168.254.128 生成反向连接木马: msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=4444 -b '\x00' -i 1 -f python kali打开msf: use exploit/multi/handler set payload windows/x64/meterpreter/bind_tcp set lport 4444 set rhost 192.168.254.1
CVE-2020-0796_RCE(永恒漏洞exp复现
qq_29365787的博客
06-29 2291
一、漏洞介绍 Microsoft服务器消息块(SMB)协议是Microsoft Windows中使用的一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的,用于在计算机间共享文件、打印机等。Windows 10和Windows Server 2016引入了SMB 3.1.1 。本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。利用该漏洞客可直接远程攻击SMB服务端远程执行任意恶意代码
CVE-2020-0796 漏洞分析报告(最详细)
热门推荐
RatOnSea的博客
05-28 1万+
CVE-2020-0796 漏洞分析报告 1 漏洞介绍 1.1 名称 微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796 1.2 影响范围 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Se
CVE-2020-0796漏洞POC复现利用
weujie
04-01 2877
0x00漏洞概述 1、该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的, 它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。  2、影响范围:     适用于32位系统的Windows 10版本1903     Windows 10 1903版(用于基于x64的系统)     Windows 10 1903版(用于基于ARM64的系统)     Windows Serve...
CVE-2020-0796 Windows SMBv3攻击:全面防御指南
weixin_42298254的博客
05-31 1960
CVE-2020-0796是一个影响Windows SMBv3服务器和客户端的严重安全漏洞,该漏洞被命名为“SMBGhost”。在2020年3月被公开,漏洞存在于处理压缩数据包的过程中,允许攻击者远程执行代码,从而可能导致系统受到完全控制。微软在随后的安全更新中发布了补丁修复这一漏洞。在本章中,我们将从漏洞发现的背景开始,探讨其普遍性和对网络安全造成的潜在威胁。这一漏洞的严重性在于它几乎影响了所有运行Windows 10版本0903或更高版本的操作系统,包括Windows Server 2019。
SMBGhost漏洞CVE2020-0796)简单分析
bluebloodye的专栏
06-26 2908
0x00 漏洞描述 3 月 10 日:微软发布安全通告 ADV200005,称 SMBv3 协议在处理某些请求的方式中存在代码执行漏洞,并提供了缓解措施。 3 月 12 日:微软正式发布 CVE-2020-0796 安全通告和漏洞修复补丁。 CVE-2020-0796是Windows 10 1903/1909的新SMB3压缩功能中的错误。 SMB协议版本3.1.1引入了一种功能,即客户端或服务器可以发布压缩功能,并有选择地压缩SMB3消息。 使用此功能协商会话后,客户端或服务器可以选择..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值