Samba远程命令执行漏洞(CVE-2017-7494)

一、 实验目标

理解Samba远程命令执行漏洞的原理

掌握怎么利用Samba远程命令执行漏洞

链接:https://pan.baidu.com/s/1QueT0MgKqTK-4Y1pIThHSw 密码:gc29

漏洞利用环境,将该文件夹放入装有docker环境的Linux中

二、 实验原理

远程命令执行

Samba允许连接一个远程的命名管道,并且在连接前会调用is_known_pipename()函数验证管道名称是否合法。

Samba远程命令执行漏洞形成的原因

在is_known_pipename()函数中,并没有检查管道名称中的特殊字符,加载了使用该名称的动态链接库。导致攻击者可以构造一个恶意的动态链接库文件,执行任意代码。

该漏洞要求的利用条件:

拥有共享文件写入权限,如:匿名可写等

需要知道共享目录的物理路径

三、实验步骤

步骤一

进入漏洞利用目录运行测试环境



步骤二

测试环境运行后,监听445端口,默认开启了一个共享“myshare的”,共享的目录为/home/share,可读可写。

我们可以在Linux下用smbclient(安装apt install smbclient:)连接试试:


成功连接。大家测试的时候如果连接不成功,有可能是国内运营商封了445端口,最好在VPS上进行测试,比如上图,我在本地进行测试,连接的是127.0.0.1。

步骤三

使用Metasploit工具来利用该漏洞,首先在kali运行最新版的Metasploit工具:


然后选择模块exploit/linux/samba/is_known_pipename,RHOST为目标IP(运行搬运工的主机的IP),我这里是192.168.10.129。

注意,如果你能猜到目标可写的目录的绝对路径,比如当前这个测试环境,就设置一下set SMB_FOLDER /home/share。如果在实战中你猜不到绝对路径,那么就不设置,无国界医生会自动爆破一些路径。



步骤四

执行exploit


成功拿到外壳