专栏首页鸿鹄实验室CVE-2020–0796检测与修复

CVE-2020–0796检测与修复

点击上方“蓝字”带你去看小星星

漏洞影响版本:

Windows 10版本1903(用于32位系统) Windows 10版本1903(用于基于ARM64的系统) Windows 10版本1903(用于基于x64的系统) Windows 10版本1909(用于32位系统) Windows 10版本1909(用于基于ARM64的系统) Windows 10版本1909(用于)基于x64的系统 Windows Server 1903版(服务器核心安装) Windows Server 1909版(服务器核心安装)

漏洞检测工具

python版本

来源:

https://github.com/ollypwn/SMBGhost/blob/master/scanner.py

import socket
import struct
import sys

pkt = b'\x00\x00\x00\xc0\xfeSMB@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\x00\x08\x00\x01\x00\x00\x00\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00x\x00\x00\x00\x02\x00\x00\x00\x02\x02\x10\x02"\x02$\x02\x00\x03\x02\x03\x10\x03\x11\x03\x00\x00\x00\x00\x01\x00&\x00\x00\x00\x00\x00\x01\x00 \x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\n\x00\x00\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00'
sock = socket.socket(socket.AF_INET)
sock.settimeout(3)
sock.connect(( sys.argv[1],  445 ))
sock.send(pkt)

nb, = struct.unpack(">I", sock.recv(4))
res = sock.recv(nb)

if not res[68:70] == b"\x11\x03":
    exit("Not vulnerable.")
if not res[70:72] == b"\x02\x00":
    exit("Not vulnerable.")

exit("Vulnerable.")

nmap版本:

#!/bin/bash
if [ $# -eq 0 ]
  then
    echo $'Usage:\n\tcheck-smb-v3.11.sh TARGET_IP_or_CIDR {Target Specification - Nmap}'
    exit 1
fi

echo "Checking if there's SMB v3.11 in" $1 "..."

nmap -p445 --script smb-protocols -Pn -n $1 | grep -P '\d+\.\d+\.\d+\.\d+|^\|.\s+3.11' | tr '\n' ' ' | tr 'Nmap scan report for' '@' | tr "@" "\n" | tr '|' ' ' | tr '_' ' ' | grep -oP '\d+\.\d+\.\d+\.\d+'

if [[ $? != 0 ]]; then
    echo "There's no SMB v3.11"
fi

漏洞缓解方法

Disable compression:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

Enable compression:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f),作者:鸿鹄实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • CVE-2020-0796 漏洞检测及利用工具

    自2020年3月12日,微软正式发布CVE-2020-0796高危漏洞补丁后,时隔数月,远程利用PoC代码已经被公布,这也意味着这场漏洞风波即将告一段落了。

    Bypass
  • SMBv3远程代码执行漏洞 CVE-2020-0796安全通告

    SMB远程代码执行漏洞(编号:CVE-2020-0796,类型:远程代码执行) 【漏洞描述】 SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查...

    贺艳燕 safra he
  • CVE-2020-0796,又是一场补丁攻坚战

    每年真正比较有影响力的漏洞编号,其实并不多,而这个CVE-2020-0796,就是我们在疫情之下全面返岗伊始,最值得去重视的一个。

    Bypass
  • 【漏洞通告】微软SMBv3协议远程代码执行漏洞(CVE-2020-0796)PoC公开处置手册

    北京时间6月2日晚,绿盟科技监测到有研究人员公布了SMBv3协议远程代码执行漏洞(CVE-2020-0796)远程利用的PoC代码,极大的增加了该漏洞的潜在危害...

    绿盟科技安全情报
  • SMB远程代码执行漏洞CVE-2020-0796安全通告

    SMB远程代码执行漏洞(CVE-2020-0796),有安全研究者取名“SMBGhost”。

    腾讯安全
  • 漏洞复现 | CVE-2020-0796 (SMBv3远程代码执行) Windows-10

    大家好,这里是 渗透攻击红队 的第 42 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更

    渗透攻击红队
  • Win-SMBGhost-RCE漏洞检测防御

    (CVE-2020-0796 SMBGhost)该漏洞是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的,它可让远程且未经身份验证的攻击者在目标系统上执...

    洛米唯熊
  • CVE-2020-0796漏洞复现(RCE)

    2020年3月10日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,MicrosoftGuidance for Disabl...

    剧终
  • 微软发布针对SMBv3漏洞的安全更新,建议用户尽快安装

    微软发布了KB4551762安全更新,修复了在微软服务器消息块3.1.1(SMBv3)中发现的Windows 10 RCE漏洞。在2020年3月补丁星期二活动日...

    FB客服
  • 攻击者最喜欢的漏洞有哪些?来看这份报告

    Cognyte 对全球的活跃攻击者进行了大规模的研究,也对地下论坛进行了深入的跟踪与分析。借此了解攻击者的行为模式与常用的漏洞,帮助防守方洞察理解攻击者。

    FB客服
  • CVE-2020-0796:微软 SMBv3 协议RCE复现

    SMB(全称是Server Message Block)是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。

    黑白天安全
  • SMBGhost漏洞数月后再被“捧红” 火绒用户无需恐慌

    昨日,火绒接到用户反馈,咨询多家安全友商相继发布的漏洞预警一事。经火绒工程师确认,不同厂商报告中涉及名称SMBGhost、CoronaBlue,甚至“永恒之黑”...

    用户6477171
  • Windows SMB Ghost(CVE-2020-0796)漏洞分析

    2020年3月10日,微软在其官方SRC发布了CVE-2020-0796的安全公告(ADV200005,Microsoft Guidance for Disab...

    用户1631416
  • 推荐|最好用的Windows提权合集项目

    给大家推荐一个同事呕心沥血写的Windows提权项目,项目一直在持续更新,欢迎大家持续关注并给予支持,目前已有827stars。

    Timeline Sec
  • CVE-2020-0796本地提权复现

    CVE-2020-0796漏洞影响运行Windows 10版本1903,Windows Server版本1903(服务器核心安装),Windows 10版本19...

    鸿鹄实验室
  • 微软发布“蠕虫级别”漏洞补丁 相关修复方法及问题解答在这里

    在火绒发布通告后,微软在昨日晚间针对其最新漏洞CVE-2020-0796,发布了修复补丁。该漏洞会使攻击者无需身份认证即可进行远程攻击,是与“永恒之蓝“漏洞类似...

    用户6477171
  • 域信息收集自动脚本​WinPwn

    https://github.com/S3cur3Th1sSh1t/WinPwn#sessiongopher---executes-sessiongopher-...

    黑白天安全
  • CVE-2020-0796:微软 SMBv3 协议RCE复现

    SMB(全称是Server Message Block)是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。

    Timeline Sec
  • CVE-2020-0796 Windows SMBv3 LPE Exploit POC 分析

    2020年3月12日微软确认在Windows 10最新版本中存在一个影响SMBv3协议的严重漏洞,并分配了CVE编号CVE-2020-0796,该漏洞可能允许攻...

    Seebug漏洞平台

扫码关注云+社区

领取腾讯云代金券