SMB协议漏洞分析

2017年,勒索病毒WannaCry和Petya利用SMB 1.0暴露的漏洞,利用Windows操作系统445端口进行传播。

不同SMB版本在Windows出现的顺序:

  • CIFS – Windows NT 4.0
  • SMB 1.0 – Windows 2000
  • SMB 2.0 – Windows Server 2008 and Windows Vista SP1
  • SMB 2.1 – Windows Server 2008 R2 and Windows 7
  • SMB 3.0 – Windows Server 2012 and Windows 8
  • Smb 3.02 – Windows Server 2012 R2 and Windows 8.1

客户端和服务器SMB版本兼容性列表:


操作系统
Windows 8.1,
Server 2012 R2
Windows 8,
Server 2012
Windows 7,
Server 2008 R2
Windows Vista,
Server 2008
Windows XP, Server 2003 and earlier

Windows 8.1 ,
Server 2012 R2
SMB 3.02
SMB 3.0
SMB 2.1
SMB 2.0
SMB 1.0

Windows 8 ,
Server 2012
SMB 3.0
SMB 3.0
SMB 2.1
SMB 2.0
SMB 1.0

Windows 7,
Server 2008 R2
SMB 2.1
SMB 2.1
SMB 2.1
SMB 2.0
SMB 1.0

Windows Vista,
Server 2008
SMB 2.0
SMB 2.0
SMB 2.0
SMB 2.0
SMB 1.0

Windows XP, 2003 and earlier
SMB 1.0
SMB 1.0
SMB 1.0
SMB 1.0
SMB 1.0

我们的生产环境都是Windows Server 2012 R2,下面是SMB Server和SMB Client对应的服务:

LanmanServer

LanmanWorkstation

可以看到都不支持SMB 1.0驱动。

尝试修改Windows Server 2012 R2的445端口

尝试使用Windows Server 2003修改445端口的方式,修改端口为48322

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Smb]

"SessionPort"=dword:0000bcc2

"DatagramPort"=dword:0000bcc2

重启服务器后,查看到依然监听在445端口,UNC仍能访问。说明修改端口失败。该方式只能用在SMB 1.0版本时代。

原文地址:http://blog.51cto.com/ultrasql/2084598

时间: 2024-10-08 13:53:27

SMB协议漏洞分析的相关文章

Erraticgopher相关漏洞分析

Erraticgopher为NSA泄露的攻击框架中用于针对RRAS服务的模块,因此需要目标机开启对应的服务选项,如下图所示,该服务主要用于在局域网以及广域网环境中为企业提供路由服务. 通过框架运行,并选择使用Erraticgopher攻击模块,配置是选择SMB协议进行通信,攻击运行后成功. 这个工具实际上已经被python化了,可以在以下的链接中进行下载 https://packetstormsecurity.com/files/142313/Microsoft-Windows-2003-SP2

Java反序列化漏洞分析

相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 http://www.tuicool.com/articles/ZvMbIne http://www.freebuf.com/vuls/86566.html http://sec.chinabyte.com/435/13618435.shtml http://www.myhack58.com/Articl

从乌云的错误漏洞分析看Mifare Classic安全

前言 12年2月初国内著名安全问题反馈平台-乌云发布了有关某公司员工卡的金额效验算法破解的安全问题.从整个漏洞分析来看,漏洞的提交者把员工卡的数据分析得非常仔细,以至很多刚刚接触或者未曾接触的都纷纷赞叹.但从真实的技术角度出发来进行分析的话,从漏洞的标题以及其内部的分析和解决方案都可以看得出,乌云以及漏洞发布者完全不明白究竟哪里才是漏洞!从08年至今时隔四年,国内对于MIFARE Classic安全漏洞在著名的安全问题反馈平台却反映出了国内安全研究者的一种无知. MIFARE安全问题的由来 20

金融行业安全漏洞分析报告

报告介绍 互联网+时代的到来,人们充分享受新时代科技创新成果的便利同时,万物互联带来的信息安全风险也日渐提高,信息泄密事件层出不穷,在资金体量庞大.用户信息集中.安全隐患影响深远的金融领域,所面临的安全问题尤为凸显.人们真切地感知到,原有的金融服务模式被颠覆,网银.第三方支付.互联网金融等新兴模式异军突起.用户也在这些新的业务模式下,将自身姓名.***号码.手机号码等身份认证信息与业务紧密绑定关联.所以说,互联网的发展为传统的信息防御体系划开了一道口子,打破看似牢不可破的安全防护状态,直逼用户核

小米手机MIUI远程代码执行漏洞分析

7月我在研究webview漏洞时专门挑小米手机的MIUI测试了下,发现了非常明显的安全漏洞.通过该漏洞可以远程获取本地APP的权限,突破本地漏洞和远程漏洞的界限,使本地app的漏洞远程也能被利用,达到隔山打牛的效果.在漏洞发现的第一时间,我已经将漏洞细节报告给了小米安全响应中心,目前漏洞已经修复. 测试环境:手机型号:MI 3 Android版本:4.2.1 JOP40D MIUI版本:MIUI-JXCCNBE21 内核版本:3.4.35-ga656ab9 一.   小米MIUI原生浏览器存在意

协议漏洞挖掘或协议逆向工程的一些思考

[0]协议漏洞挖掘,有时也叫协议逆向技术.学界两种叫法都有,但是国外一般都称协议逆向技术,笔者倾向于协议逆向技术的叫法. 国外的相关术语用了Protocol Reverse Engineering(协议逆向工程,PRE)这样的词,有的会用Network Protocol Reverse Engineering(NPRE). 国内也会用PRE,部分也会用Protocol Vulnerability mining(协议漏洞挖掘)这样的词. 协议逆向技术有两支,一支是基于指令代码的逆向技术,另一支是基

工业以太网协议安全分析整理

1.     EtherNet/IP : 设备可以用户数据报协议(UDP)的隐式报文传送基于IO的资料 ,用户传输控制协议(TCP)显示报文上传和下参数,设定值,程式 ,用户主站的轮询 从站周期性的更新或是改变状态COS,方便主站监控从站的状态,讯息会使用UDP的报文发送出去 特性:  EnterNet/IP 工业以太网组成的系统具有兼容性和互操作性,资源共享能力强和传输距离远,传输速率高优势 EtherNetIP在物理层和数据链路层采用以太网,可以与标准的以太网设备透明衔接,并保证随着以太网的

腾讯大牛亲授 Web 前后端漏洞分析与防御技巧

第1章 课程介绍介绍安全问题在web开发中的重要性,并对课程整体进行介绍1-1 Web安全课程介绍1-2 项目总览 第2章 环境搭建本章节我们会搭建项目所需要的环境2-1 环境搭建上2-2 环境搭建下 第3章 前端XSS系统介绍XSS攻击的原理.危害,以真实案例讲解XSS带来过的损失,最后以实战代码讲解如何防御XSS攻击3-1 XSS介绍3-2 XSS攻击类型3-3 HTML内容和属性转义3-4 JS转义3-5 富文本 上3-6 富文本 下3-7 CSP3-8 PHP-XSS 第4章 前端CSR

139 和 445 端口漏洞分析和关闭方法

端口漏洞分析 139 端口,是 NetBIOS 会话服务端口,主要用于提供 Windows 文件和打印机共享以及 UNIX 中的 Samba 服务.虽然 139 端口可以提供共享服务,但是攻击者常常利用其进行攻击,比如使用流光,如果发现有漏洞,会试图获取用户名和密码,这是非常危险的. 445 端口,通过它可以在局域网中轻松访问各种共享文件夹或共享打印机,但黑客们也有了可乘之机,能通过该端口共享硬盘. 关闭 139 端口 单击 "开始" 按钮,选择 "设置" 中的 &