SMB v3远程拒绝服务漏洞分析

最新推荐文章于 2024-07-10 17:18:40 发布
最新推荐文章于 2024-07-10 17:18:40 发布
阅读量519 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/222246
本文分析了Windows SMBv3中存在的远程拒绝服务漏洞,该漏洞源于mrxsmb20.sys驱动处理TreeConnectResponse时的不当包长度检查。通过特定长度的数据包即可触发漏洞,导致系统崩溃。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文讲的是 SMB v3远程拒绝服务漏洞分析
漏洞简介

此漏洞是由于Windows处理SMB协议驱动mrxsmb20.sys在解析Tree Connect Response时,未正确处理包长度导致的空指针引用漏洞。当Tree Connect Response包中smb协议长度大于0x400(1024)时,会造成蓝屏崩溃。

漏洞重现

根据已公开的 POC,在win10 14393中重现了此漏洞。需要注意的是,Windows系统中可能默认监听了445端口,在这种情况下运行POC会出现如下错误: socket.error: [Errno 10013] An attempt was made to access a socket in a way forbidden by its access permissions 解决方案有两个,手动关闭系统445端口监听,或者在其他系统中运行POC。随后通过UNC路径访问便可以重现此漏洞。   

SMB v3远程拒绝服务漏洞分析

通过windbg双机调试崩溃机器,可以看出漏洞是mrxsmb20!Smb2ValidateNegotiateInfo函数访问了空指针(rcx为0)导致了访问异常。 

0: kd> !analyze -v
FAULTINGIP: 
mrxsmb20!Smb2ValidateNegotiateInfo+17
fffff80e847fd117 66394114        cmp     word ptr [rcx+14h],ax
rax=0000000000000001 rbx=0000000000000000 rcx=0000000000000000
rdx=ffff9a0e216adb20 rsi=0000000000000000 rdi=0000000000000000
rip=fffff80e847fd117 rsp=fffff8020385bec0 rbp=ffff9a0e21530ae8
 r8=0000000000000001  r9=0000000000000000 r10=ffff9a0e218d2b20
r11=fffff8020385c1a8 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na po nc
mrxsmb20!Smb2ValidateNegotiateInfo+0x17:
fffff80e847fd117 66394114        cmp     word ptr [rcx+14h],ax ds:00000000`00000014=????
FOLLOWUPNAME:  MachineOwner
MODULENAME: mrxsmb20
IMAGENAME:  mrxsmb20.sys
OSPLATFORMTYPE:  x64
OSNAME:  Windows 10
BUILDOSVERSTR:  10.0.14393.447.amd64fre.rs1releaseinmarket.161102-0100

POC分析

POC中大部分是用来进行封包操作,或用来进行身份认证的功能代码。其中和漏洞相关的代码如下: 

SMB v3远程拒绝服务漏洞分析

代码中注释为BUG处为触发漏洞的关键点,经过测试后发现只要Data的数据长度为945,任意数据都会触发漏洞,此时代码中packet1的长度刚好等于1025大于0x400。

漏洞数据包分析

SMB v3远程拒绝服务漏洞分析

由上图可以看出,正常的Tree Connect Response在Access Mask字段后是不会有数据。而漏洞攻击数据包中,后面接了很多无用数据,而且数据包长度刚好大于0x400,漏洞便被触发了。

SMB v3远程拒绝服务漏洞分析        

正常数据包和漏洞攻击数据包如下: normal.pcapng trigger.pcapng

漏洞影响

经测试漏洞只会影响win8及以上系统,包括对应的服务器版本。由于此漏洞利用时只需要回应恶意的Tree Connect Response包,所以攻击者可以通过中间人攻击或诱骗用户访问等多种方式实现远程攻击。在微软官方修补前,建议用户通过防火墙禁用139和445等端口的流量。




原文发布时间为:2017年2月10日
本文作者:四叶草安全
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
Windows SMBv3 远程拒绝服务 0day 漏洞
weixin_34290631的博客
06-08 319
北京时间2月2日,国外技术网站Github曝光了Windows SMBv3存在远程攻击0day漏洞。根据已公开的漏洞验证代码(POC),攻击者可以模拟成一个SMB服务器,诱使客户端发起SMB请求来触发漏洞。攻击者也可以通过中间人方式“毒化”SMB回应,插入恶意的SMB回复实现拒绝服务,迫使受影响系统蓝屏崩溃。 目前微软尚未对此漏洞发布公告,暂不明确何时将...
利用smb_loris漏洞对目标进行拒绝服务攻击(dos)
Cwillchris的博客
10-18 488
在进行 SMBloris拒绝服务攻击之前,要先设置攻击机的最大连接数。 ┌──(root????kali)-[~/desktop] └─# ulimit -n 65535 1、使用smb_loris攻击,设置目标机ip,执行 msf6 > use auxiliary/dos/smb/smb_loris msf6 auxiliary(dos/smb/smb_loris) > set rhost 172.16.12.4 rhost => 172.16.12.4 msf6 au
拒绝服务攻击(SMBloris 漏洞
weixin_50904074的博客
01-30 1030
如果 Microsoft Windows7、Windows8、Windows Server2008。or Windows Server 2012 正在运行了存在 MS15-034 漏洞的 IIS。在进行 SMBloris拒绝服务攻击之前,要先设置攻击机的最大连接数。MS15-034 HTTP 协议栈请求处理拒绝服务攻击。使用 smb_loris 模块来攻击目标机机器。服务,那么可以利用这个漏洞导致目标服务器崩溃。
Windows SMBv3远程拒绝服务0day漏洞
weixin_33841503的博客
08-01 244
前言 国外技术网站Github曝光了Windows SMBv3存在远程攻击0day漏洞。根据已公开的漏洞验证代码(POC),攻击者可以迫使受影响系统蓝屏崩溃。目前微软尚未对此漏洞发布公告,暂不明确何时将推出补丁。 经验证,此漏洞主要影响Windows Server 2012/2016、Win8/8.1以及Win10系统。攻击者可以模拟成一个SMB服...
Networkcommd V3 新功能之一 拒绝服务攻击防护 ( DOSProtection)
chvft44866的专栏
03-03 168
DOSProtection类能够防御拒绝服务攻击 启用方法: NetworkComms.DOSProtection.Enabled = true; 相关资料: ...
CVE-2020-0796 SMB 远程代码执行漏洞分析、验证及加固
m0_47635965的博客
05-13 375
0x01漏洞描述 CVE-2020-0796是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞,该漏洞未包含 在微软本月发布的补丁中,是在补丁的序言中泄露的。目前微软尚未发布任何技术详情,思科Talos团队和Fortinet公司提供了简短概述,目前尚不清楚该漏洞的补丁何时发布。Fortinet公司指出,该漏洞是“微软 SMB 服务器中的一个缓冲区溢出漏洞”,严重等级为最高评分,“该漏洞由易受攻击的软件错误地处理恶意构造的压缩数据包而触发。远程、未经认证的攻击者可利用该漏洞在该应用程序的上下文中执行任意代码。
SMB v1远程代码执行漏洞(CVE-2020-1301)复现
玄道的网安博客
06-15 1万+
0x00影响版本 参考:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1301 0x01漏洞分析 目标计算机上启用了SMBv1 目标开启了共享C:\ 如果目标计算机没有设置凭据,则不需要用户名和密码。 目标机器可能已经崩溃。如果没有,再试一次 搭建环境 1、启动smb 控制面包->程序->启动或关闭windows功能->勾选smb1.0 2、启动C盘
pgAdmin未授权命令执行漏洞(CVE-2022-4223
蚁景网安学院
06-11 1199
首先从代码层面进行分析,接口validate_binary_path​ 最后调用了 subprocess.getoutput(​来执行了命令,这一部分代码是对传入的路径进行检测,如果是在 linux 下直接拼接,在windows 下部署,后缀中会添加 .exe​ 。
Windows服务器中启用/禁用SMBv1、SMBv2和SMBv3的方法
09-30
Windows服务器中,服务器消息块(SMB)是一种网络文件共享协议,允许网络中的用户通过TCP/IP网络访问文件、打印机和串行端口。SMB协议经历了多个版本的更新,包括SMBv1、SMBv2和SMBv3,每一个新版本都在性能、安全...
workstation服务启动报错。错误1075:依存服务不存在, 或已标记为删除的解决方法
chio1517的博客
07-25 3万+
近来,突然发现workstation服务启动了,导致了无法访问共享服务器和启动rabbitMQ。 百度一下。方法普遍是: 1.替换mrxsmb.sys、rbdss.sys 2.在cmd中 ,执行sfc / scannow 3.重装 都尝试了一遍,发现不行。 还有一个是替换mrxsmb.sys、mrxsmb10.sys、mrxsmb20.sys(三个文件的,这个没试过,不知道行不行...
解决win10下samba不能访问
qq_39628285的博客
01-16 9092
前提:linux下smbclient -L ip命令可以访问 首先SMB1.0/CIFS协议默认被关闭了,所以需要我们手动开启,可以在搜索栏处搜索windows功能->启用或关闭windows功能 接着用管理员身份执行两个命令 sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb2...
WireShark教程 – 黑客发现之旅(5) – (nmap)扫描探测
lhorse003的博客
05-12 1万+
0×00 简单介绍 这一章在博主我个人看来,对于web渗透的学习意义还是非常重大的。建议大家深度学习一下各种扫描的原理。 另外这篇文章针对的各种网络扫描分析,用的是nmap,同时也有助于大家理解nmap的原理与使用。 可以参考:nmap教程-常用命令精华集合 “知己知彼,百战不殆。”扫描探测,目的就是“知彼”,为了提高攻击命中率和效率,基本上常见的攻击行为都会用到扫描探
内网渗透(详细原理)
最新发布
weixin_65891791的博客
07-10 1286
可以从报文捕获看出首先是kali的38983号端口对靶子机的445号端口发起TCP连接,建立好连接之后kali向靶子机发了大量的数据包,使得靶子机的smb服务缓冲区溢出,并向靶子机植入了恶意代码,使得靶子机的主动向kali的4444号端口进行TCP连接,kali通过4444端口发送恶意程序,使得kali能够在本机上运行靶子机的shell,以此来获取信息。
ms08-067漏洞 远程溢出入侵测试
热门推荐
十年磨一剑,霜刃未曾试!
09-25 3万+
被攻击者IP地址:192.168.9.4,操作系统Windows XP sp3 English 攻击者IP地址:192.168.9.1   //查看数据库连接状态 msf > db_status [*] postgresql connected to msf3 //使用nmap扫描目标机器 msf > db_nmap -sS -sV -O --script=smb-check...
文件服务器修复软件,文件服务技术的修补程序 - Windows Server | Microsoft Docs
weixin_32226023的博客
08-05 817
文件服务技术当前可用的修补程序列表10/23/2020本文内容本文列出了当前可供在基于 Windows Server 2012 或基于 R2 的 Windows Server 2012 计算机上安装文件服务技术的用户使用。适用于: Windows 10 - 所有版本Windows Server 2012 R2原始 KB 编号: 2899011摘要文件服务提供的技术可帮助你管理存储、启用文件...
网络安全技术之内网安全-01-信息收集
caigai5424的博客
07-10 1496
在渗透测试工作中,在进行内网渗透的时候,首先也许进行信息收集工作。
windows系统下代码执行漏洞
07-25
根据引用\[1\],在受影响版本Windows系统中存在绑定raw socket的应用程序时,TCPIP驱动程序在处理错误的ICMP包时存在内存漏洞,攻击者可以利用这个漏洞向目标计算机发送一个报头中包含一个碎片IP的ICMP数据包,从而导致Windows系统的tcpip.sys驱动崩溃或远程执行恶意代码。这个漏洞被命名为"微软多个Windows系统存在远程代码执行漏洞(ICMP协议)",漏洞类型为代码注入,发现时间为20233月15日。该漏洞的影响范围广泛。\[1\] 根据引用\[2\],微软官方已发布了升级补丁来修复这个漏洞。建议用户尽快升级程序,可以通过打开Windows Update并点击检查更新按钮来下载和安装相关的安全补丁。安装完毕后,需要重启服务器并检查系统运行情况。此外,还可以关停SMB服务或使用安全组公网入、内网入方向策略来禁止445、139端口的访问,以增加系统的安全性。\[2\] 根据引用\[3\],受影响的Windows系统版本包括Windows 10 v1903-1909 x64、Windows 10 Version 1903 for 32-bit Systems、Windows 10 Version 1903 for x64-based Systems、Windows 10 Version 1903 for ARM64-based Systems、Windows Server, Version 1903 (Server Core installation)、Windows 10 Version 1909 for 32-bit Systems、Windows 10 Version 1909 for x64-based Systems、Windows 10 Version 1909 for ARM64-based Systems、Windows Server, Version 1909 (Server Core installation)。\[3\] #### 引用[.reference_title] - *1* [微软多个 Windows 系统存在远程代码执行漏洞(ICMP协议)(MPS-2023-1376)](https://blog.youkuaiyun.com/murphysec/article/details/129559338)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [【操作系统安全漏洞 】解决CVE-2017-11780:Microsoft Windows SMB Server远程代码执行漏洞](https://blog.youkuaiyun.com/weixin_26767391/article/details/119620921)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [【漏洞复现】Windows SMB远程代码执行漏洞(CVE-2020-0796)](https://blog.youkuaiyun.com/qq_52549196/article/details/126485940)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值