Linux版SMB远程代码执行漏洞(CVE-2017-7494)-SambaCry 分析报告

最新推荐文章于 2024-03-18 09:54:15 发布
最新推荐文章于 2024-03-18 09:54:15 发布
阅读量7.4k 收藏 8
点赞数 1
分类专栏: 安全漏洞 文章标签: 漏洞 linux 服务器

背景

2017年5月24日Samba官方发布了安全公告,在Samba 3.5.0 以后的版本中存在严重的代码执行漏洞(CVE-2017-7494)。在rpc_server/srv_pipe.c中存在的一个验证BUG,攻击者可以利用客户端上传恶意动态库文件到具有可写权限的共享目录中,之后发出请求,使服务器加载Samba运行目录以外的非法模块,导致恶意代码执行。

漏洞公告

===========
Description

===========

All versions of Samba from 3.5.0 onwards are vulnerable to a remote
code execution vulnerability, allowing a malicious client to upload a
shared library to a writable share, and then cause the server to load
and execute it.

==================
Patch Availability

==================

A patch addressing this defect has been posted to

http://www.samba.org/samba/security/

Additionally, Samba 4.6.4, 4.5.10 and 4.4.14 have been issued as
security releases to correct the defect. Patches against older Samba
versions are available at http://samba.org/samba/patches/. Samba
vendors and administrators running affected versions are advised to
upgrade or apply the patch as soon as possible.

Samba介绍

Samba,是一种用来让UNIX系列操作系统与微软Windows操作系统通过SMB/CIFS(Server Message Block/Common Internet File System)网络协议做链接的自由软件。第三版不仅可访问及分享SMB的文件夹及打印机,本身还可以集成入Windows Server的网域,扮演为网域控制站(Domain Controller)以及加入Active Directory成员。简而言之,此软件在Windows与UNIX系列OS之间搭起一座桥梁,让两者的资源可互通有无。

IPC$(Internet Process Connection) 是共享 “命名管道” 的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。 IPC$能使用户匿名访问Samba服务器的共享资源。

正因为其跨操作系统的灵活性,很多企业或个人的 NAS(Network Attached Storage),路由器和其他IOT设备存储解决方案会选择开源软件Samba提供数据访问服务。

攻击流程

  1. 向具有写权限的Samba服务器共享目录中上传恶意动态库,这里命名为evil.so;
  2. 通过访问IPC$(命名管道)资源的方式请求步骤1上传的恶意动态库,文件名中包含”/”字符;
  3. 服务器端误将文件资源 ” /path/to/evil.so” 当作IPC$(命名管道)资源加载运行,漏洞触发。

漏洞验证

环境准备:

IP地址角色操作系统必需依赖备注
192.168.119.155靶机CentOS 6.8 64-bitsSamba-4.5.9源码安装包关闭selinux, iptables
192.168.119.152攻击机Kali1-amd64is_known_pipename模块\

使用Metasploit公开的exploits模块(is_known_pipename)进行测试。下载地址:https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/samba/is_known_pipename.rb

1)上传恶意动态库文件到服务器共享目录public

这里写图片描述
第51个包Write AndX Request写操作请求数据,如下所示:
SMB (Server Message Block Protocol)
SMB Header
Server Component: SMB
[Response in: 52]
SMB Command: Write AndX (0x2f)
Error Class: Success (0x00)

Tree ID: 51295 (\192.168.119.155\public) #访问靶机共享文件路径Tree ID
Process ID: 51988
User ID: 62509
Multiplex ID: 27235
Write AndX Request (0x2f)
Word Count (WCT): 14
AndXCommand: No further commands (0xff)
Reserved: 00
AndXOffset: 0
FID: 0xef37 (\rDfDKbgV.so) # 恶意动态库文件FID

[File RW Length: 476] #写入文件大小
Byte Count (BCC): 476
Data (476 bytes) #上传二进制数据
Data: 7f454c4602010100000000000000000003003e0001000000…
[Length: 476]

2)以命名管道方式请求恶意动态库

这里写图片描述
第59个包NT Create AndX Request 请求命名管道资源数据,如下所示:

SMB (Server Message Block Protocol)
SMB Header
Server Component: SMB
SMB Command: NT Create AndX (0xa2)

Tree ID: 19967 (\192.168.119.155\IPC$) #这里使用命名管道方式很重要
Process ID: 51988
User ID: 62509
Multiplex ID: 27235
NT Create AndX Request (0xa2)
Word Count (WCT): 24
AndXCommand: No further commands (0xff)
Reserved: 00
AndXOffset: 0
Reserved: 00
File Name Len: 23
Create Flags: 0x00000016
Root FID: 0x00000000

Byte Count (BCC): 24
File Name: /home/samba/rDfDKbgV.so # 管道名称即为前面上传文件的绝对路径

3) 服务器加载恶意动态库
Smbd服务进程详细调用链,如下如所示:

这里写图片描述
Samba漏洞关键源代码位置,如下如所示:
这里写图片描述
正常情况,pipename为Samba服务运行的相对路径。由于没有对pipename的值做判断,smb_probe_module函数调用执行在共享目录下上传so的文件,进而导致恶意代码执行漏洞。

这里写图片描述
Metaspoit中提供在SMB_SHARE_BASE的列表用于猜解,共享目录的绝对路径。笔者直接设置可正确的Samba共享目录绝对路径,可以确保一次通过。

检测漏洞是否存在

1) 本地检查Samba版本是否属于 4.4.14、 4.5.10、4.6.4 及以后的版本。
2) 使用nmap –script=smb-os-discovery -p 445 192.168.1.122/24命令扫描网络中Linux Samba版本。

漏洞修复:

  1. 使用源码安装的 Samba 用户,请尽快下载最新的 Samba 版本手动更新。
  2. 使用二进制分发包(RPM 等方式)的用户立即进行 yum,apt-get update 等安全更新操作。
  3. 通过在 smb.conf 的[global]节点下增加 nt pipe support = no选项, 然后重新启动Samba 服务,以此达到缓解针对该漏洞攻击的效果。
  4. Samba 官方已经提供了新版本来修复上述漏洞,请受影响的用户尽快升级到新版本,下载链接如下:
    https://download.samba.org/pub/samba/stable/samba-4.6.4.tar.gz https://download.samba.org/pub/samba/stable/samba-4.5.10.tar.gz https://download.samba.org/pub/samba/stable/samba-4.4.14.tar.gz

FAQ

1)很多童鞋在ubuntu16.04或者centos6.8上没有验证成功,是so不对?metasploit版本不对?还是靶机环境不对?
答:
a) kali上的metasploit保证最新,然后只需下载对应的is_known_pipename.rb模块,放入/usr/share/metasploit-framework/modules/exploits/linux/samba/目录即可;
b) 使用metasploit自带的payload生成模块即可,默认为reverse TCP;
c) 本次测试靶机的smb.conf设置如下:
[public]
path = /home/samba
public = yes
writable = yes
browseable = yes
guest ok = yes
read list = nobody
write list = nobody
能触发漏洞的配置文件版本很多,writable = yes是必需的,global里有个security设置,删除后默认是匿名访问。
d) 本次测试共享目录/home/samba的权限为777;
e) 重点:2017年5月24日以后使用apt或者yum安装的smb服务基本都是打过补丁的,所以不可能利用成功。

2)如何在ubuntu下查看Samba的完整版本?
a) apt install apt-show-versions
b) apt-show-versions samba
这里写图片描述
c) 位置1是Samba版本,位置2是ubuntu补丁版(ubuntu0.16.04.7),可以参见ubuntu的修改日志http://changelogs.ubuntu.com/changelogs/pool/main/s/samba/samba_4.3.11+dfsg-0ubuntu0.16.04.7/changelog,可以看到已经修复了漏洞CVE-2017-7494。

3)如何查看centos已经修复的版本?
笔者这里找到的是RHEL的更新日志,redhat也在5月24日紧急更新了所有在维护的Samba包,修复漏洞CVE-2017-7494。文章详见:https://rhn.redhat.com/errata/RHSA-2017-1270.html

参考文献:

https://github.com/rapid7/metasploit-framework/pull/8450
http://bobao.360.cn/learning/detail/3900.html
http://www.4hou.com/vulnerable/4976.html
https://github.com/omri9741/cve-2017-7494
https://www.samba.org/samba/security/CVE-2017-7494.html
https://rhn.redhat.com/errata/RHSA-2017-1270.html
http://changelogs.ubuntu.com/changelogs/pool/main/s/samba/samba_4.3.11+dfsg-0ubuntu0.16.04.7/changelog

感谢:

悟空同学给出的语病修正的建议。

这里写图片描述

counsellor
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
主要介绍了浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Nt函数原型
weixin_30883271的博客
04-06 302
Nt函数原型 1 NTSTATUS 2 NTAPI 3 NtAcceptConnectPort( 4 OUT PHANDLE PortHandle, 5 IN PVOID PortIdentifier, 6 ...
smbexec: 简单、高效的远程执行命令工具
最新发布
gitblog_00002的博客
03-18 378
smbexec: 简单、高效的远程执行命令工具 smbexec 是一个轻量级的 Python 脚本,用于通过 SMB 协议在目标机器上执行命令。它利用了 Windows 操作系统中的某些漏洞,可以轻松地实现远程命令执行smbexec 使用简单,功能强大,是渗透测试和网络安全研究的理想工具。 应用场景 smbexec 可以广泛应用于以下场景: 网络审计:对内网进行安全审计,发现潜在的安全风险。 ...
什么是命名管道
counsellor的专栏
06-21 2519
命名管道 定义 In computing, a named pipe (also known as a FIFO for its behavior) is an extension to the traditional pipe concept on Unix and Unix-like systems, and is one of the methods of inter-proc...
在ubuntu 16.04系统环境中搭建NAS(samba/iscsi/nfs)
weixin_30509393的博客
11-08 1289
在ubuntu 16.04系统中搭建NAS环境 一、基本配置1:设置静态IPvi /etc/network/interfaces#iface ens32 inet dhcpiface ens32 inet staticaddress 10.86.2.5netmask 255.255.255.0gateway 10.86.2.1dns-nameservers 114.114.114.114 2:...
CVE-2017-7494漏洞的分析与复现(Linux永恒之蓝)
dgjkkhcf的博客
07-20 3583
2017年5月24日Samba发布了4.6.4本,中间修复了一个严重的远程代码执行漏洞漏洞编号CVE-2017-7494漏洞影响了Samba3.5.0之后到4.6.4/4.5.10/4.4.14中间的所有本。360网络安全中心和360信息安全部的GearTeam第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。...
Linux Samba远程代码执行漏洞(CVE-2017-7494)漏洞复现
旺仔Sec&blog
05-29 1829
1.该漏洞CVE-2017-7494又被称为Linux的永恒之蓝 2.主要是利用smb上的反弹shell漏洞,进行远程代码执行 3.samba3.5.0 到4.6.4/4.5.10/4.4.14的中间本、docker
CVE-2017-7494的复现(Linux永恒之蓝)
siaowei44的博客
07-02 7549
概述 该漏洞CVE-2017-7494又被称为Linux的永恒之蓝 主要是利用smb上的反弹shell漏洞,进行远程代码执行 环境 靶机ip:192.168.74.161 ,os:centos7,应用:Samba 3.5.0到4.6.4/4.5.10/4.4.14的中间本。 攻击主机ip:192.168.74.168,os:kali2019,工具:msf ...
基于Metasploit完成Samba服务漏洞复现
linxaiomo
03-10 7512
实验环境: 靶机ip:192.168.31.182(下载链接: https://pan.baidu.com/s/1ia-DD8UPDhIkWUd2eJWoKg?pwd=cykq 提取码: cykq 复制这段内容后打开百度网盘手机App,操作更方便哦) 攻击机ip:192.168.31.166(X64) 一:主机发现 arp-scan -l #扫描同一网段下的主机 可以看到靶机的IP地址和mac地址,Vmware为虚拟机 2.漏洞扫描 nmap 192.168.31.182.
CVE-2017-7494:SAMBA CVE-2017-7494漏洞远程漏洞利用
05-06
CVE-2017-7494 SAMBA CVE-2017-7494漏洞远程漏洞利用。 细节 此漏洞利用分为两个部分: 首先,它编译一个称为“ implant.c”的有效负载,并生成一个库(libimplantx32.so或libimplantx64.so),该库更改为root用户,与父进程分离并生成一个反向shell。 其次,它在指定的目标主机中找到可写共享,并使用随机名称上传库并尝试加载它。 只要目标是易受攻击的,并且有效负载对目标操作系统和体系结构而言是正确的,则漏洞利用程序是100%可靠的。 如何 在您的机器上,运行以下命令: $ nc -p 31337 -l 然后,针对您的目标运行该漏洞利用,并等待其连接回您的Netcat: $ python cve_2017_7494.py -t target_ip 如果您关闭反向外壳的速度过快,则无需再次运行利用漏洞上传模块等.
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j 升级到 2.3.2 本,Java 7 将 log4j 升级到 2.12.4 本,Java 8 或更高本将 log4j 升级到 2.17.1
CVE-2017-7494 SambaCry 分析&复现
weixin_45209963的博客
04-02 894
写这篇文章的起因是为了完成课程作业…实在是过于真实了闲话少说,其实我对这玩意也不能说很了解吧…只能硬着头写了。本文会结合部分samba代码分析、msf exploit分析和攻击数据包对比,希望能让大家对这一漏洞有一定的了解。
2.8 利用samba漏洞进行渗透
qq_55202378的博客
07-17 2074
samba漏洞
三、漏洞编号为CVE-2017-7494的复现(永恒之蓝)(Linux)(Ubuntu16.04.4)
qwsn
10-15 3975
一、漏洞分析 1.漏洞别名: CVE-2017-7494称为Linux的永恒之蓝 2.漏洞用来做什么: 该漏洞用来,远程反弹shell并提权 3.漏洞适合的环境: Samba 3.5.0到4.6.4/4.5.10/4.4.14的中间本。 //也就是Samba 3.5.0之后的所有本,在4.6.4/4.5.10/4.4.14修复了这个漏洞。 二、漏洞环境复现 1.相关信息: ①IP地址...
Samba漏洞详解
m0_64593235的博客
04-19 300
samba漏洞详解
利用samba漏洞入侵linux主机(samba漏洞利用)
weixin_62870602的博客
08-11 3007
复现samba漏洞入侵linux主机
PHP 远程代码执行漏洞(CVE-2022-31625)修复办法
07-14
针对PHP远程代码执行漏洞(CVE-2022-31625),以下是一些修复方法: 1. 更新到最新本:确保你的PHP本是最新的,因为漏洞修复通常会包含在更新中。请访问PHP官方网站或者使用包管理工具来获取最新本。 2. 禁用危险函数:在php.ini配置文件中,禁用危险函数可以帮助防止远程代码执行。可以使用disable_functions指令来禁用一些敏感函数,如eval()、exec()、system()等。 3. 安全配置:检查你的PHP配置文件,确保安全设置已经启用。例如,禁用动态加载扩展、限制文件上传目录和大小、禁用远程文件包含等。 4. 输入验证和过滤:在你的应用程序中对用户输入进行严格的验证和过滤,以防止恶意代码注入。 5. 使用安全框架或库:使用安全框架或库来帮助防止远程代码执行漏洞。这些框架通常提供安全的默认配置和内置的安全功能。 6. 定期更新和监控:定期检查并更新你的应用程序和相关组件,以确保及时修复已知漏洞。同时,监控应用程序的日志和网络流量,以便及时发现异常行为。 请注意,这些方法只是一些常用的修复措施,具体的修复方法可能会因系统配置和应用程序的特定情况而有所不同。建议在修复漏洞之前,先进行充分的测试和备份。此外,如果你不确定如何处理或无法解决该漏洞,请咨询安全专家或PHP开发人员的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值