干货分享|Linux版“永恒之蓝”远程代码执行漏洞技术分析

最新推荐文章于 2023-07-29 14:30:32 发布
最新推荐文章于 2023-07-29 14:30:32 发布
阅读量4.3k 收藏 1
点赞数

一、漏洞描述

  Samba是一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。这个漏洞使得Samba客户端可以主动上传共享库到Samba服务器同时加载并执行该动态库导出函数。


  攻击者利用漏洞可以进行远程代码执行,具体执行条件如下:

  1)系统开启了文件/打印机共享端口445

  2)共享文件夹拥有写入权限

  3)恶意攻击者需猜解Samba服务端共享目录的物理路径


  满足以上条件时,由于Samba能够为选定的目录创建网络共享,当恶意的客户端连接上一个可写的共享目录时,通过上传恶意的共享库文件,触发漏洞使samba服务端加载并执行它,从而实现了远程代码执行。根据服务器的配置情况,恶意代码还有可能以root权限执行。


  漏洞编号:CVE-2017-7494

  危害评级:高危

  影响范围:所有介于 Samba 3.5.0 ~ 4.6.4之间的版本。其中(4.6.4/4.5.10/4.4.14 版本)不受影响。


二、漏洞复现

  通过一个可写账号,上传恶意共享库文件,触发恶意共享库文件实现远程命令执行。


  安装Samba 按照以下要求安装即可

  Samba Version < 4.6.4

  Samba Version < 4.5.10

  Samba Version < 4.4.14


  配置samba


  添加下面这些即可,如果之前conf文件中包含的注释即可

  workgroup = WORKGROUP

  netbios name = LinuxSir05

  server string = Linux Samba Server TestServer

  #security = share

  [models]

  path = /tmp

  available = yes

  browsable = yes

  writable = yes

  create mask = 0777

  write list = debian

  guest ok = yes

  如下图所示:


  然后重新加载

  /etc/init.d/samba reload

  最后启动服务

  /etc/init.d/samba restart


  配置 msf

  Use exploit/linux/samba/is_known_pipename


  Set target 0

  Set RHOST localhost

  Exploit


  最终结果如图所示:



三、漏洞原理分析

  下载版本4.6.3 进行静态分析漏洞原理:

  漏洞通过一个具有可以权限的samba账号上传一个恶意共享动态库上去,并触发恶意功能。


  我们这里阐述的是如何加载的恶意动态库。

  漏洞触发位置:


  在这里可以看到pipename ,这个是管道名,需要利用这个管道名是恶意共享库so文件参数,比如/tmp/xxx.so , 这个参数在传递进smb_probe_module里,跟进下这个函数:


  又把参数传递进入了do_smb_load_module()函数里,再跟进:


  可以看到如果管道名字存在/, 会进入else 里调用load_module()函数,把管道名传递进来,再继续跟进:


  可以看到把管道名传递进入到dlopen函数也就是打开恶意构造的共享库文件,接着把句柄给了dlsym 加载SAMBA_INIT_MODULE,也就是说恶意共享库的功能要写入到samba初始化函数里才能被加载,这样就触发了恶意构造的函数功能呢。


四、修复建议

  官方补丁:

  官方已经发布安全更新包,用户可以通过以下2种方案进行安全更新操作。

  1、通过源码安装的Samba使用者,从Samba官方下载补丁包或者安装最新版Samba。

  2、使用二进制分发包(RPM等方式)的Samba使用者通过yum,apt-get update 等命令进行安全更新操作。


  临时缓解策略:

  1、修改samba文件系统中可写文件共享目录的安全属性,使用“noexec”选项

  注:noexec 选项指明在该文件系统上不允许二进制文件或脚本的执行

  2、修改samba配置文件smb.conf,在[global]节中增加如下信息

  “nt pipe support = no”。 修改完毕重启samba服务。

super_marie
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
干货 | Linux新手入门好书推荐
01-11
前言 经常有读者问小编可否推荐一些 Linux 入门书籍,正好最近在知乎也看到类似的问题,如几个零碎的命令难以在 Linux 环境中存活,所以如果要真正形成自己的知识体系,还是要靠阅读专业书籍来积累。 众所周知Linux 对后端开发是必备技能,对 Python 开发者来说重要性不言而喻,将来你写的每一行代码,都有可能在 Linux 环境中运行。前端开发是否有必要学习 Linux 呢?这个就好比学驾照,学到了,总有一天会给你带来便利,暂时没时间学的可以先收藏着。 linux之路,路漫漫其修远兮,吾将上下而求索! 一、《快乐的Linux命令行》 这本书介绍如何生存在 Linux 命令行的世界。不
干货分享|如何基于知识图谱玩转金融知识问答系统?
02-24
为什么金融知识问答需要知识图谱?在搜索引擎里面输入问题“川普他老婆多高”使用不同的搜索引擎搜索得到了不一样的效果:左边的直接给我们答案(这个是基于谷歌的知识图谱来做的),右边的结果虽然给出了一堆搜索结果,但我们可能看很久也找不到想要的结果。从搜索的效果来看,左右两边的差别非常大。知识图谱发展后,可以帮助我们解决很多问题。知识图谱和智能问答在很多行业、领域可以带来很好的交互体验,为我们节省大量的时间。在经历过蒸汽时代、电气时代和信息时代之后,人类社会正处在迈进智能化时代的阶段中。近十年人工智能技术迅速发展,这也在在这次新冠疫情有所体现——智能测温、智能填表……他们都是人工智能的应用展现。人工智能
windows update medic service拒绝访问_预警Windows再现“永恒之蓝”级漏洞 国内超150万主机受影响...
weixin_39599654的博客
12-13 229
5月15日,微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌面服务(RDP)远程代码执行漏洞,该漏洞在不需身份认证的情况下即可远程触发,危害与影响面极大。奇安信通过全球鹰分析发现国内有超过150万台主机对外开放3389端口,可能受到漏洞影响。漏洞描述Windows 远程桌面服务(RDP)主要用于管理人员对 Windows 服务器进行远程管理,使用量极大。...
漏洞复现-永恒之蓝(MS17-010)
qq_60848021的博客
09-19 2968
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
Metasploit 渗透测试手册第三 第二章 信息收集与扫描(翻译)
weixin_34186950的博客
04-15 1256
第二章 信息收集和扫描 在本章中,我们将学习以下内容 使用Metasploit被动收集信息 使用Metasploit主动收集信息 使用Nmap进行端口扫描 使用db_nmap方式进行端口扫描 使用ARP进行主机发现 UDP服务探测 SMB扫描和枚举 SSH本扫描 FTP扫描 SMTP枚举 SNMP枚举 HTTP扫描 WinRM扫描和爆破 与Nessus结合使用 与NeXpose结合使用 与Op...
Linux Samba远程代码执行漏洞(CVE-2017-7494)漏洞复现
旺仔Sec&blog
05-29 1817
1.该漏洞CVE-2017-7494又被称为Linux永恒之蓝 2.主要是利用smb上的反弹shell漏洞,进行远程代码执行 3.samba3.5.0 到4.6.4/4.5.10/4.4.14的中间本、docker
C 怎么读取Cpp文件_EternalBlueC:一款针对永恒之蓝的CC++实现工具
weixin_39654917的博客
11-21 125
EternalBlueCEternalBlue suite在C/C++中重新构建,其中包括:MS17-010漏洞、EternalBlue/MS17-010漏洞检测器、DoublePulsar检测器以及DoublePulsarUploadDLL和Shellcode上传工具。项目目标1.转换为其他语言,例如Java和C#,并实现扫描和攻击GUI。2.允许编辑的永恒之蓝漏洞利用有效负载以删除D...
Linux Kernel 远程代码执行漏洞(CVE-2022-47939)
西京刀客
12-27 1758
据Security Affairs消息,近期披露的一个严重 Linux 内核漏洞会影响 SMB 服务器,可能导致远程代码执行Linux Kernel SMB2_TREE_DISCONNECT 命令处理中存在远程代码执行漏洞。由于在对对象执行操作前缺乏对对象存在性的验证,当系统启用 ksmbd 时,未经身份验证的远程攻击者可实现在目标系统上任意执行代码,CVSS 评分为 10。该漏洞的 CVSS 评分达到了最高级别的10分,影响启用了 ksmbd 的服务器。
命令执行漏洞超详细讲解
qinshuoyang1的博客
08-20 5106
应用有时需要调用一些执行系统命令的函数,如PHP中的`system`、`exec`、`shell_exec`、`passthru`、`popen`、`proc_popen`等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞
linux远程代码执行漏洞,Bash远程任意代码执行安全漏洞(最严重漏洞
weixin_39928993的博客
05-08 240
US-CERT 意识到 Bash 存在一个安全的漏洞,该漏洞直接影响基于 Unix 的系统(如 Linux、OS X 等)。该漏洞将导致远程攻击者在受影响的系统上执行任意代码。US-CERT 建议用户和管理员重新检查[url title="" href="https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-enviro...
linux bash远程执行代码漏洞的补丁
10-20
redhat bash漏洞补丁包含文件:bash-4.1.2-15.el6_5.2.i686.rpmbash-4.1.2-15.el6_5.2.x86_64.rpmbash-3.0-27.el4.i386.rpmbash-3.0-27.el4.x86_64.rpmbash-3.2-33.el5_11.4.i386.r... redhat bash漏洞补丁 包含文件: bash-4.1.2-15.el6_5.2.i686.rpm bash-4.1.2-15.el6_5.2.x86_64.rpm bash-3.0-27.el4.i386.rpm bash-3.0-27.el4.x86_64.rpm bash-3.2-33.el5_11.4.i386.rpm bash-3.2-33.el5_11.4.x86_64.rpm bash补丁命令.txt
干货分享|详解特征工程与推荐系统及其实践
02-24
本文来自于网络,本文主要介绍了特征工程,以及一些常见的特征工程的方法,以及自然语言处理的特征工程,希望对您的学习有所帮助。协同过滤CollaborativeFiltering特征工程FeatureEngineering推荐系统实战注意点首先...
命令执行漏洞利用技巧总结
st3pby的博客
05-19 2039
在红蓝对抗中,远程命令执行漏洞往往是攻击方在正面路径中突破边界非常青睐的。常见的可以执行远程命令的漏洞的有各种JAVA反序列化漏洞远程代码执行漏洞远程命令执行漏洞(原生)、表达式执行漏洞、SQL注入漏洞等。远程命令执行漏洞漏洞探测到漏洞利用其实都非常讲究技巧。如果在进行漏洞探测阶段考虑的情况不全就会很容易遗漏漏洞,与漏洞擦肩而过;在漏洞利用阶段如果知识面不广(姿势不够多)的话可能就会陷入苦苦挣扎却无法获取权限的困境。目标操作系统类型、执行命令结果是否有回显以及是否能通外网。
Metasploit-MS17-010(永恒之蓝 EternalBlue )复现
5L2g556F5ZWl77yf
09-09 1232
一. 概述 此安全更新程序修复了 Microsoft Windows 中的多个漏洞。如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息,那么其中最严重的漏洞可能允许远程执行代码。 对于 Microsoft Windows 的所有受支持本,此安全更新的等级为“严重”。有关详细信息,请参阅受影响的软件和漏洞严重等级部分。 此安全更新可通过更正 SMBv1 处理经特殊设计的请求的方式来修复这些漏洞。 有关这些漏洞的详细信息,请参阅漏洞信息部分。 EternalChampion 永恒冠军(CVE-
网络安全-防御需知
最新发布
qq_43784516的博客
07-29 2323
安全入门知识
永恒之蓝漏洞原理 445_SMBv3新漏洞危害堪比永恒之蓝,深信服紧急提供解决方案...
weixin_39548733的博客
11-24 406
3月12日,微软正式发布安全补丁公告披露一个最新的SMBv3远程代码执行漏洞(CVE-2020-0796),攻击者利用该漏洞无须任何权限即可实现远程代码执行。 该漏洞类似于永恒之蓝,存在被蠕虫化利用从而导致规模受攻击可能,深信服建议广大用户务必及时更新安全补丁,加强攻击防御。漏洞名称:微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796漏洞类型:远程代码执行威胁等级...
永恒之蓝(MS17-010)漏洞复现
tubug的博客
05-21 3826
2017 年 4 月 14 日晚,黑客团体 Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用 Windows 系统的 SMB 漏洞可以获取系统最高权限。5 月 12 日,不法分子通过改造“永恒之蓝”制作了 wannacry 勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网呾政府机构与网中招,被勒索支付高额赎金才能解密恢复文件。.........
LinuxSMB远程代码执行漏洞(CVE-2017-7494)-SambaCry 分析报告
counsellor的专栏
05-31 7475
背景2017年5月24日Samba官方发布了安全公告,在Samba 3.5.0 以后的本中存在严重的代码执行漏洞(CVE-2017-7494)。在rpc_server/srv_pipe.c中的存在一个验证BUG,攻击者可以利用客户端上传恶意动态库文件到具有可写权限的共享目录中,之后发出请求,使服务器加载Samba运行目录以外的非法模块,导致恶意代码执行漏洞公告=========== Descr
linux 远程执行漏洞,Linux永恒之蓝远程代码执行漏洞技术分析
weixin_32346177的博客
05-06 470
作者:天融信阿尔法实验室 李喆 李闪 姜利晓一、漏洞描述Samba 是一套可使 UNIX 系列的操作系统与微软 Windows 操作系统的 SMB/CIFS 网络协议做连结的自由软件。这个漏洞使得 Samba 客户端可以主动上传共享库到 Samba 服务器同时加载并执行该动态库导出函数。攻击者利用漏洞可以进行远程代码执行,具体执行条件如下:系统开启了文件/打印机共享端口445共享文件夹拥有写入权限...
干货分享】程序员常访问的国外技术交流网站汇总
06-06
6. Medium:这是一个博客和内容分享平台,有许多技术作者在这里发布文章和教程,程序员可以在这里学习新技术分享自己的经验。 7. Dev.to:这是一个由开发者社区创建的博客平台,有许多技术作者在这里发布文章和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值