漏洞介绍

2020年3月10日，微软在其官方SRC发布了CVE-2020-0796的安全公告（ADV200005，MicrosoftGuidance for Disabling SMBv3 Compression）,公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中，攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。

影响版本

CVE-2020-0796漏洞影响运行Windows 10版本1903，Windows Server版本1903（服务器核心安装），Windows 10版本1909和Windows Server版本1909（服务器核心安装）的设备。根据Fortinet，其他Microsoft版本应受到影响。

模块说明

漏洞编号：CVE-2020-0796
漏洞别名：SMBGhost、永恒之黑
影响版本：Win10或2016 1903 | 1909
返回结果：IP、机器名、漏洞编号、操作系统版本

无损扫描

通过检测SMB3.1.1是否启用压缩功能判定漏洞，和MS17010一样不会对目标造成任何损害，也不会被杀软拦截。

SMBGhost漏洞检测

扫描指定主机SMBGhost漏洞

1

Ladon 192.168.1.8 SMBGhost

扫描C段主机SMBGhost漏洞

1
2

Ladon 192.168.1.8/24 SMBGhost
Ladon 192.168.1.8/C SMBGhost

批量扫描IP列表主机SMBGhost漏洞

1

Ladon ip.txt SMBGhost

批量检测IP段（/24）SMBGhost漏洞

1

Ladon ip24.txt SMBGhost

批量检测IP段（/16）SMBGhost漏洞

1

Ladon ip16.txt SMBGhost

Ladon稳定利用

由于该漏洞利用不稳定，成功运气从1次到100次不等，所以8.5新增ForExec循环执行漏洞利用功能，原版EXP需交互执行，批量在本地执行还好，但要在目标，比如只有shell的情况下执行就很麻烦了，所以我们需对EXP进行一个小修改，把交互式去掉，再使用Ladon调用，一直循环有可能会导致目标蓝屏，所以我们需要判定成功后不再执行以免目标蓝屏，EXP命令循环使用Ladon ForExec查看用法。

如图：ForExec循环利用Win10永恒之黑漏洞

1

Ladon ForExec "CVE-2020-0796-Exp -i 192.168.1.8 -p 445 -e --load-shellcode test.txt" 80 "Exploit finnished"

POC/EXP/LPE

https://github.com/danigargu/CVE-2020-0796
https://github.com/chompie1337/SMBGhost_RCE_PoC

配合Ladon可在Shell下使用的EXP在“K8小密圈”

Ladon下载

PowerLadon: https://github.com/k8gege/PowerLadon
历史版本: http://github.com/k8gege/Ladon/releases
7.0版本：http://k8gege.org/Download
8.5版本：K8小密圈