漏洞平台

POC详情： 6ccb61f81e3a22bf2a8a831526b60704524f562a

来源

https://github.com/awareseven/eternalghosttest

关联漏洞

标题： 微软 Microsoft SMBv3 缓冲区错误漏洞 (CVE-2020-0796)
描述：Microsoft SMBv3是美国微软（Microsoft）公司的一个为设备提供SMB功能的支持固件。 Microsoft Server Message Block 3.1.1 (SMBv3)版本中存在缓冲区错误漏洞，该漏洞源于SMBv3协议在处理恶意压缩数据包时，进入了错误流程。远程未经身份验证的攻击者可利用该漏洞在应用程序中执行任意代码。以下产品及版本受到影响：Microsoft Windows 10版本1903，Windows Server版本1903，Windows 10版本1909，Windo

描述

This repository contains a test case for CVE-2020-0796

介绍

# Eternalghost
* [Deutsch](#deutsch)
* [English](#english)
                                    
## Deutsch
Dieses Repository enthält einen Testfall für CVE-2020-0796

Mit diesem kleinen Skript können Sie überprüfen, ob ein Server von Ihnen verwundbar ist. Das Skript prüft, ob Sie Compression aktiviert haben und die SMB-Version 3.1.1 ist. Das ganze geschieht über einen "negotiate request".

### Wie man dieses Skript benutzt
<code> python3 eternalghost.py IP </code>

### Umgehungslösungen
[Microsoft-Hinweis zum Deaktivieren der SMBv3-Komprimierung - Englisch](https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005)

<code> Set-ItemProperty -Pfad "HKLM:\SYSTEM\CurrentControlSet\Dienste\LanmanServer\Parameter" Deaktivieren der Kompression -Typ DWORD -Wert 1 -Kraft </code>

#### Anmerkungen
Wenn Sie eine Perimeter-Firewall haben, sollten Sie in Betracht ziehen, den TCP-Port 445 zu blockieren. Systeme sind von außen nicht anfällig, wenn Sie den Port blockieren. **Sie sind weiterhin von innerhalb des Unternehmens-Perimeters verwundbar**.

Da es sich um einen "wurmstichigen" Angriff handelt, sollten Sie auch den SMB-Verkehr von seitlichen Verbindungen und den Eintritt oder Austritt aus Ihrem Netzwerk verhindern.
[Verhindern von unkontrolliertem SMB Verkehr in Ihrem Netzwerk](https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections)

Nähere Informationen finden Sie auf dem [AWARE7 Blog](https://aware7.com/de/blog/eternaldarkness-kritische-sicherheitsluecke-bei-windows-10/)

### Derzeit anfällige Systeme

* Windows 10 Version 1903 für 32-Bit-Systeme		 	 
* Windows 10 Version 1903 für ARM64-basierte Systeme		 	 
* Windows 10 Version 1903 für x64-basierte Systeme		 
* Windows 10 Version 1909 für 32-Bit-Systeme	
* Windows 10 Version 1909 für ARM64-basierte Systeme
* Windows 10 Version 1909 für x64-basierte Systeme
* Windows Server, Version 1903 (Server Core-Installation)
* Windows Server, Version 1909 (Server Core-Installation)

Im Rahmen unserer [Pentetrationstests](https://aware7.com/de/blog/eternaldarkness-kritische-sicherheitsluecke-bei-windows-10/) überprüfen wir Ihre Systeme auch auf diese Schwachstelle.

## English
This repository contains a test case for CVE-2020-0796

With this small script you can check wether a server of yours is vulnerable. The script checks for compression capability and SMB version 3.1.1 via a negotiate request.

### How to use this script
<code> python3 eternalghost.py IP </code>

### Workarounds
[Microsoft Advisory on Disabling SMBv3 compression](https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005)

<code> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force </code>

#### Notes
If you have a perimeter firewall you should consider blocking TCP port 445. Systems are not vulnerable from the outside, if you block this port. **You will still be vulnerable from within the enterprise perimeter**

Since the attack is "wormable" you should also prevent SMB traffic from lateral connections and entering or leaving your network.
[Preventing SMB traffic from lateral connections and entering/leaving your network](https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections)

Find more information on our [AWARE7 blog](https://aware7.com/blog/eternaldarkness-critical-vulnerability-in-windows-10/)

### Currently Vulnerable Systems

* Windows 10 Version 1903 for 32-bit Systems		 	 
* Windows 10 Version 1903 for ARM64-based Systems		 	 
* Windows 10 Version 1903 for x64-based Systems		 
* Windows 10 Version 1909 for 32-bit Systems	
* Windows 10 Version 1909 for ARM64-based Systems
* Windows 10 Version 1909 for x64-based Systems
* Windows Server, version 1903 (Server Core installation)
* Windows Server, version 1909 (Server Core installation)

As part of our [penetration tests](https://aware7.com/blog/eternaldarkness-critical-vulnerability-in-windows-10/), we also check your systems for this vulnerability.

文件快照


 [4.0K]  /data/pocs/6ccb61f81e3a22bf2a8a831526b60704524f562a
├── [2.3K]  eternalghost.py
├── [1.0K]  LICENSE
└── [4.0K]  README.md

0 directories, 3 files

神龙机器人已为您缓存

备注

1. 建议优先通过来源进行访问。

2. 如果因为来源失效或无法访问，请发送邮箱到 f.jinxu#gmail.com 索取本地快照（把 # 换成 @）。

3. 神龙已为您对POC代码进行快照，为了长期维护，请考虑为本地POC付费，感谢您的支持。