CVE-2020-0796检测与修复

admin

100981
文章

86
评论

2021年9月28日07:30:00评论220 views字数 2132阅读7分6秒阅读模式

漏洞影响版本

Windows 10版本1903（用于32位系统）
Windows 10版本1903（用于基于ARM64的系统）
Windows 10版本1903（用于基于x64的系统）
Windows 10版本1909（用于32位系统）
Windows 10版本1909（用于基于ARM64的系统）
Windows 10版本1909（用于）基于x64的系统
Windows Server 1903版（服务器核心安装）
Windows Server 1909版（服务器核心安装）

漏洞检测工具

python版本

来源：

https://github.com/ollypwn/SMBGhost/blob/master/scanner.py

import socket import struct import sys pkt = b'x00x00x00xc0xfeSMB@x00x00x00x00x00x00x00x00x00x1fx00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00$x00x08x00x01x00x00x00x7fx00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00xx00x00x00x02x00x00x00x02x02x10x02"x02$x02x00x03x02x03x10x03x11x03x00x00x00x00x01x00&x00x00x00x00x00x01x00 x00x01x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x03x00nx00x00x00x00x00x01x00x00x00x01x00x00x00x01x00x00x00x00x00x00x00' sock = socket.socket(socket.AF_INET) sock.settimeout(3) sock.connect(( sys.argv[1], 445 )) sock.send(pkt) nb, = struct.unpack(">I", sock.recv(4)) res = sock.recv(nb) if not res[68:70] == b"x11x03": exit("Not vulnerable.") if not res[70:72] == b"x02x00": exit("Not vulnerable.") exit("Vulnerable.")

nmap版本

#!/bin/bash if [ $# -eq 0 ] then echo $'Usage:ntcheck-smb-v3.11.sh TARGET_IP_or_CIDR {Target Specification - Nmap}' exit 1 fi echo "Checking if there's SMB v3.11 in" $1 "..." nmap -p445 --script smb-protocols -Pn -n $1 | grep -P 'd+.d+.d+.d+|^|.s+3.11' | tr 'n' ' ' | tr 'Nmap scan report for' '@' | tr "@" "n" | tr '|' ' ' | tr '_' ' ' | grep -oP 'd+.d+.d+.d+' if [[ $? != 0 ]]; then echo "There's no SMB v3.11" fi

漏洞缓解方法

注:在powershell下禁止或者开启即可缓解

Disable compression:

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” DisableCompression -Type DWORD -Value 1 -Force

Enable compression:

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” DisableCompression -Type DWORD -Value 0 -Force

关注路劲科技，关注网络安全！

技术| Linux 运维必备的13款实用工具

五种方法教你如何防御供应链网络攻击

终于搞懂了：Spring为什么建议构造器注入？

如何绕过“请在微信客户端打开链接”的限制0x00 限制原理

北京路劲科技有限公司

网址：www.lujinsec.com

北京市昌平区南邵镇双营西路78号院2号楼5层504

相关推荐: Sodinokibi勒索病毒分析

IOC 病毒名称：Sodinokibi勒索病毒样本名称：CDHFUN.exe MD5: ea4cae3d6d8150215a4d90593a4c30f2 SHA1: 8dcbcbefaedf5675b170af3fd44db93ad864894e SHA25…

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2020-0796检测与修复

我国人工智能法应如何制定

高级黑客技术-3.网络技巧

pbootcms V3.1.2 "虚假的无文件落地RCE"

动态对抗杀软总结

JWT基础知识及攻击方式详析

实战 | 记一次某系统代码注入绕过

实战:从前端加解密到sql注入过waf

IP audit 记录

实战分享

Cobalt Strike流量改造

发表评论

在线咨询

微信