Samba 远程命令执行漏洞(CVE-2017-7494)

运行测试环境

docker-compose up -d

Samba版本:4.6.3(该漏洞在4.6.4被修复)

原理

Samba允许连接一个远程的命名管道,并且在连接前会调用is_known_pipename()函数验证管道名称是否合法。在is_known_pipename()函数中,并没有检查管道名称中的特殊字符,加载了使用该名称的动态链接库。导致攻击者可以构造一个恶意的动态链接库文件,执行任意代码。

该漏洞要求的利用条件:

  • 拥有共享文件写入权限,如:匿名可写等
  • 需要知道共享目录的物理路径

参考:

测试过程

测试环境运行后,监听445端口,默认开启了一个共享“myshare”,共享的目录为/home/share,可读可写。

我们可以在Linux下用smbclient(安装:apt install smbclient)连接试试:

成功连接。大家测试的时候如果连接不成功,有可能是国内运营商封了445端口,最好在VPS上进行测试,比如上图,我在本地进行测试,连接的是127.0.0.1。

然后使用metasploit来利用该漏洞,首先在Docker中运行最新版的metasploit:

git clone [email protected]:rapid7/metasploit-framework.git
cd metasploit-framework
chmod 0777 $HOME/.msf4/
docker-compose run --rm --service-ports ms

然后选择模块exploit/linux/samba/is_known_pipename,RHOST为目标IP(运行docker的主机的IP),我这里是127.0.0.1。

注意,如果你能猜到目标可写的目录的绝对路径,比如当前这个测试环境,就设置一下set SMB_FOLDER /home/share。如果在实战中你猜不到绝对路径,那么就不设置,msf会自动爆破一些路径。

成功拿到shell。

Copied From: vulhub/samba/CVE-2017-7494