永恒之黑(CVE-2020-0796)漏洞复现

  • A+
所属分类:安全文章


一、 漏洞描述

漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。


二、 漏洞危害等级 

该漏洞是由SMBv3处理恶意制作的压缩数据包,远程,未经认证,攻击者可能利用此漏洞在应用程序的上下文中执行任意代码。判定分析为高危


三、 影响版本

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)


四、 漏洞复现

如果想要复现这个漏洞,大家可以搭建靶机来完成,靶机首先使用systeminfo确定下主机有没有打过这个补丁KB4551762。如果没有的话,也不要先下结论,虽然这个上面没有显示KB4551762的补丁,但是我一直都有更新补丁,可能是显示不全,所以大家还是去window更新里面点击查看更新历史记录里面的其他更新。

环境搭建:

Win 10(漏洞) 靶机:192.168.159.130

主机检测:192.168.159.133

Kali liux:192.168.159.128

注:记得防火墙要关闭啊

漏洞攻击:

1、查看靶机版本是否存在补丁

永恒之黑(CVE-2020-0796)漏洞复现

2、使用工具检测SMB(永恒之黑)存在

永恒之黑(CVE-2020-0796)漏洞复现

3、利用poc

./exploit.py -ip 192.168.161.206

实现靶机蓝屏

永恒之黑(CVE-2020-0796)漏洞复现

永恒之黑(CVE-2020-0796)漏洞复现


五、 漏洞加固

1. 更新,完成补丁的安装。

操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。
2.微软给出了临时的应对办法:
运行regedit.exe,打开注册表编辑器,在HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。

3.对SMB通信445端口进行封禁。

补丁链接
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4551762

*参考来源:网络

PS:如果觉得本篇文章对您有所帮助,欢迎关注!帮忙点个赞,转发一下 分享出去吧,有问题可以公众号回复私聊小编,看到就会及时回复,也可加小编微信入群交流哦~~!


永恒之黑(CVE-2020-0796)漏洞复现


一起加油哦~

永恒之黑(CVE-2020-0796)漏洞复现

◆Burp Suite | captcha-killer 识别图片验证码

◆Burp suite | chunked-coding-converter插件

CVE-2020-3452:Cisco_ASAFTD任意文件读取漏洞  


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: