CVE-2020-0796

abcdefg321

直接被杀，没什么用啊

Johnkay.Young

杀软小白鼠 发表于 2020-6-7 23:16
Panda Dome:

扫描还是执行的结果？

tdsskiller

761773275 发表于 2020-6-8 08:32
成功的都是没弹cmd

错了，没弹CMD的是要本体都打不开那种，你看到有字符串输出到found kernel token后面的都是被穿的（无论有没有被杀软退出），推荐萌新测试内核漏洞要上systemcall monitor，老手要windbg/od，主防不是完全的逆向工具，对付内核漏洞这一类的，基本在初见情况下HIPS全是纸，随便穿，HIPS面向的是应用层的常规动作，应用层漏洞大部分估计也不行，更不是那些花里胡哨内核漏洞的，。

所以那些反O外O挂驱动为什么没有重在内核守护而是在内核检测？因为你根本防不住稀奇古怪的内核动作，你敢守，只要人家进了内核（硬件软件都可以实现）并且逆过你的驱动，随便干死

tdsskiller

wowocock 发表于 2020-6-8 10:08
内核漏洞补了即可，而且这漏洞只存在于新的WIN10之中，早期的WIN7都没，主要是现在微软做产品越来越不上心 ...

内核隔离还是猛啊，现在都还没有出现在内核隔离+那个虚拟化开着还能跑的强力rootkit（简单功能的不算）

如果有大概率就是secureboot被白利用bootloader穿，然后在启动之前猥琐死隔离（几个室友笔记本都是SB开启时是无法关闭隔离）

3801187

busishen

还是新手,想看图片和附件!!!

tdsskiller

给楼主看一下这个东西的萌新分析吧：
触发漏洞：

由于记录下来的时间不是非常准，但是可以确定时间段的长短：

这里发现已经入侵内核了：

被控制的内核线程都有srv2的堆栈：


接下来是失陷内核线程和恶意内核线程：

可疑恶意新生成的内核线程：




接下来是推算从内核失陷到入侵explorer的时间段：



大概间隔114左右，拿火绒剑反推：



基本确定，可能在完成Finish SMB negotiation时你的内核就失陷了，在这里这个只是poc，没有展现真正的威力。
在没有内核隔离的情况下可以内核破坏你的监控，文件等等你的一切防御，如果杀软主防都是在Finish SMB negotiation或者Found kernel token 之后才反应的，全部都是被穿了，恶意内核线程都出现了


楼主顶置一下

abcdefg321

C:\Users\a2\Desktop>cve-2020-0796-local
-= CVE-2020-0796 LPE =-
by @danigargu and @dialluvioso_
connect() failed with error: 10061
你这东西需要管理员权限才能跑吗，裸奔的机器直接报错

杀软小白鼠

Johnkay.Young 发表于 2020-6-8 14:51
扫描还是执行的结果？

扫描。Panda貌似没办法单独测双击……设置里把永久性防护关了留着行为分析和行为阻断，软件就是关了，不会起作用……

tdsskiller

abcdefg321 发表于 2020-6-8 21:59
C:%users\a2\Desktop>cve-2020-0796-local
-= CVE-2020-0796 LPE =-
by @danigargu and @dialluvioso_

首先，你测试东西得确定你的系统是否是该漏洞的可利用目标，你得去NOV查查，或者看文献确定影响范围。第二你得确定你是否打了对应补丁。。。

这个是从来不需要管理员权限的。。


补：看报错好像你发本机包没发出去？