一、 实验目标
理解Samba远程命令执行漏洞的原理
掌握怎么利用Samba远程命令执行漏洞
链接:https://pan.baidu.com/s/1QueT0MgKqTK-4Y1pIThHSw 密码:gc29
漏洞利用环境,将该文件夹放入装有docker环境的Linux中
二、 实验原理
远程命令执行
Samba允许连接一个远程的命名管道,并且在连接前会调用is_known_pipename()函数验证管道名称是否合法。
Samba远程命令执行漏洞形成的原因
在is_known_pipename()函数中,并没有检查管道名称中的特殊字符,加载了使用该名称的动态链接库。导致攻击者可以构造一个恶意的动态链接库文件,执行任意代码。
该漏洞要求的利用条件:
拥有共享文件写入权限,如:匿名可写等
需要知道共享目录的物理路径
三、实验步骤
步骤一
进入漏洞利用目录运行测试环境
步骤二
测试环境运行后,监听445端口,默认开启了一个共享“myshare的”,共享的目录为/home/share,可读可写。
我们可以在Linux下用smbclient(安装apt install smbclient:)连接试试:
成功连接。大家测试的时候如果连接不成功,有可能是国内运营商封了445端口,最好在VPS上进行测试,比如上图,我在本地进行测试,连接的是127.0.0.1。
步骤三
使用Metasploit工具来利用该漏洞,首先在kali运行最新版的Metasploit工具:
然后选择模块exploit/linux/samba/is_known_pipename,RHOST为目标IP(运行搬运工的主机的IP),我这里是192.168.10.129。
注意,如果你能猜到目标可写的目录的绝对路径,比如当前这个测试环境,就设置一下set SMB_FOLDER /home/share。如果在实战中你猜不到绝对路径,那么就不设置,无国界医生会自动爆破一些路径。
步骤四
执行exploit
成功拿到外壳
