实验环境:
靶机:windows10 1903 专业版
攻击机:kali 2020.3
VMware:vmware14
实验工具:
Python 3.8.5
msfconsole
实验PROC:
靶机镜像:ed2k://|file|cn_windows_10_business_editions_version_1903_x64_dvd_e001dd2c.iso|4815527936|47D4C57E638DF8BF74C59261E2CE702D|/
检测漏洞poc:https://github.com/ollypwn/SMBGhost
蓝屏proc:https://github.com/chompie1337/SMBGhost_RCE_PoC
实验前提:
靶机关闭防火墙
靶机安装完毕后注意创建快照
pip安装netaddr模块
漏洞介绍:(内容来自腾讯安全 https://s.tencent.com/research/bsafe/912.html)
该漏洞是Windows10在处理SMB 3.1.1协议的压缩消息时,对头部数据没有做任何安全检查,直接使用,从而引发内存破坏漏洞,达到任意命令执行。
漏洞目标:(内容来自腾讯安全 https://s.tencent.com/research/bsafe/912.html)
漏洞主要攻击端口为445,但也会有其他触发方式如,构造恶意的SMB服务器并通过网页、压缩包、共享目录、OFFICE文档等多种方式传递给目标用户
当用户打开恶意文件,无需开启445端口就可以触发漏洞
漏洞影响:(内容来自腾讯安全 https://guanjia.qq.com/avast/984/index.html)
通过此漏洞获取到的权限为系统最高权限
不影响win7,影响Windows 10 1903之后的各个32位、64位版Windows,包括家用版、专业版、企业版、教育版。
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows Server, Version 1903 (Server Core installation)
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, Version 1909 (Server Core installation)
漏洞复现:
首先判断是否存在漏洞
打开SMBGhost,利用scanner.py检测是否存在漏洞
CMD输入命令 python.exe scanner.py 192.168.1.140
出现 Vulnerable 则表示成功
打开SMBGhost_RCE_PoC文件夹通过exploit.py文件进行蓝屏攻击
输入命令 python.exe exploit.py -ip [IP]
出现以下回显表示攻击成功
如果没有成功可以进行多次尝试
多次失败可以尝试恢复快照
接着返回虚拟机发现已经蓝屏
靶机恢复快照
获取shell攻击
尝试使用exp反弹shell,打开kali虚拟机
通过msfvenom命令生成payload
执行完毕后会在当前工作目录下生成exploit文件
通过cat查看文件可以看到里面是定义了一个名为buf的变量并把payload赋值给buf
打开github下载的PROC文件夹
并把exploit.py文件里面USER_PAYLOAD的值替换为buf值
kali进入msf输入命令
注意: lport 要和msfvenom生成的payload保持一致
use exploit/multi/handler set payload windows/x64/meterpreter/bind_tcp set lport 8888 set rhost 192.168.1.140 run
启动监听,并等待再次攻击
之后再次运行替换过buf的exploit
如果不成功可以多次尝试或恢复快照
运行成功后返回kali
可以看到攻击成功
防御手段: (参考 https://www.cnblogs.com/kbhome/p/13073746.html)
打补丁:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-0796 (windows官方补丁)
禁用SMBv3压缩:
禁用SMB 3.0的压缩功能,是否使用需要结合自己业务进行判断。
使用以下PowerShell命令禁用压缩功能,以阻止未经身份验证的攻击者利用SMBv3 服务器的漏洞。
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
用户可通过以下PowerShell命令撤销禁用压缩功能
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 0 -Force
注:利用以上命令进行更改后,无需重启即可生效;该方法仅可用来防护针对SMB服务器(SMB SERVER)的攻击,无法对SMB客户端(SMB Client)进行防护。
设置防火墙策略关闭相关端口:
SMB的TCP 445端口
NetBIOS名称解析的UDP 137端口
NetBIOS数据图服务的UDP 138端口
NetBIOS会话服务的TCP 139端口
通过IP安全策略屏蔽危险端口,bat执行添加防火墙策略,关闭危险服务:
http://www.piis.cn/news/new1614.asp
总结:
这次实验参考的比较多
https://blog.csdn.net/weixin_45006525/article/details/106553519 (主要攻击手段参考
https://guanjia.qq.com/avast/984/index.html (漏洞版本参考
https://s.tencent.com/research/bsafe/912.html (漏洞基本消息参考
https://www.cnblogs.com/kbhome/p/13073746.html (防御手段参考
攻击整体思路,通过445端口进行攻击,利用proc和msf攻击靶机并反弹shell,kali监听反弹的shell(注意反弹监听的shell要一致)
