Samba远程代码执行-分析(CVE-2017-7494)

最新推荐文章于 2024-04-02 19:00:00 发布
最新推荐文章于 2024-04-02 19:00:00 发布
阅读量170 收藏
点赞数
文章标签: git
原文链接:http://www.cnblogs.com/tr3e/p/7136062.html
版权

经历了前一阵windows的EternalBlue之后,某天看见了360的 samba高危预警,这个号称linux端的EternalBlue(EternalRed),于是便研究了一波

概述(抄)

Samba是在Linux和UNIX系统上实现SMB协议的一个软件。2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。

原因分析

注:个人认为对于已经打过patch的代码,根据他的git diff可以很方便也很简单地定位到漏洞代码

首先从samba github上打的patch入手来看的话

github-patch

patch代码就只添加了一行过滤,

所以可以确定成因在于is_known_pipename函数中对pipename路径符号的过滤不全导致的。

那么继续向下分析其将pipename传入smb_probe_module

bool is_known_pipename(const char *pipename, struct ndr_syntax_id *syntax)
{
    //...
    status = smb_probe_module("rpc", pipename);
    if (!NT_STATUS_IS_OK(status)) {
        DEBUG(10, ("is_known_pipename: %s unknown\n", pipename));
        return false;
    }
    //...
}

smb_probe_module则将pipename传入do_smb_load_module

NTSTATUS smb_probe_module(const char *subsystem, const char *module)
{
    return do_smb_load_module(subsystem, module, true);
}

再继续深入do_smb_load_module,其在加载模块时对module_name进行了一次判断(模块路径第一个字符是否为/
若为false,则直接调用load_module函数加载模块,若成功加载将返回一个init函数指针,并执行它

static NTSTATUS do_smb_load_module(const char *subsystem,
                   const char *module_name, bool is_probe)
{
    //...
    if (subsystem && module_name[0] != '/') {
        full_path = talloc_asprintf(ctx,
                        "%s/%s.%s",
                        modules_path(ctx, subsystem),
                        module_name,
                        shlib_ext());
        if (!full_path) {
            TALLOC_FREE(ctx);
            return NT_STATUS_NO_MEMORY;
        }

        DEBUG(5, ("%s module '%s': Trying to load from %s\n",
              is_probe ? "Probing": "Loading", module_name, full_path));
        init = load_module(full_path, is_probe, &handle);
    } else {
        init = load_module(module_name, is_probe, &handle);
    }
    //...
    if (!init) {
        TALLOC_FREE(ctx);
        return NT_STATUS_UNSUCCESSFUL;
    }
    
    DEBUG(2, ("Module '%s' loaded\n", module_name));

    status = init(NULL); //RCE POINT!!!
}

那么load_module究竟又做了什么呢?它返回的init函数指针又是什么?
它直接打开path,若成功加载则调用dlsym函数用于加载该模块中的samba_init_module

init_module_fn load_module(const char *path, bool is_probe, void **handle_out)
{
    //...
    
    handle = dlopen(path, RTLD_NOW);
    
    //...
    
    if (handle == NULL) {
        //...
    }
    
    init_fn = (init_module_fn)dlsym(handle, SAMBA_INIT_MODULE);
    
    //...
}

//...

#define SAMBA_INIT_MODULE "samba_init_module"

至此,整个漏洞成因也就清晰了,is_known_pipename函数由于路径符号过滤不严谨,导致攻击者可以通过上传恶意so文件,并且猜测路径导致任意代码执行。

攻击过程

条件:攻击者拥有上传文件权限

  • 首先攻击者上传含有恶意代码的so文件至samba服务器
  • 猜测绝对路径,通过构造以/开头的路径名(eg. /home/samba/attacker.so)发送到服务端,使其返回该文件FID
  • 请求该FID便可调用so文件中的samba_init_module,实现任意代码执行。

POC

在自己搭建的环境中,没利用成功,期末考后继续尝试

转载于:https://www.cnblogs.com/tr3e/p/7136062.html

weixin_30925411
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows协议详解之-RPC/SMB/LDAP/LSA/SAM域控协议关系
村中少年的专栏
10-24 1384
介绍一下windows域环境下涉及的协议,以及协议之间的关系,整体上理解各个协议之间的关系。
CVE-2017-7494:SAMBA CVE-2017-7494漏洞的远程根漏洞利用
05-06
CVE-2017-7494 SAMBA CVE-2017-7494漏洞的远程根漏洞利用。细节此漏洞利用分为两个部分: 首先,它编译一个称为“ implant.c”的有效负载,并生成一个库(libimplantx32.so或libimplantx64.so),该库更改为root用户...
NFS服务
m0_49569199的博客
10-18 689
NFS服务简介 什么是NFS? NFS就是Network File System的缩写,它最大的功能就是可以通过网络,让不同的机器、不同的操作系统可以共享彼此的文件。 NFS服务器可以让PC将网络中的NFS服务器共享的目录挂载到本地端的文件系统中,而在本地端的系统中来看,那个远程主机的目录就好像是自己的一个磁盘分区一样,在使用上相当便利; NFS一般用来存储共享视频,图片等静态数据。 NFS挂载原理: 如上图示: 当我们在NFS服务器设置好一个共享目录/home/public后,其他的有权访问NFS服务器的
4.9、漏洞利用 smb-RCE远程命令执行
c10udz的博客
11-12 2641
1.1 samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。1.2 SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器(C/S)型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。1.3 samba监听的端口。
Ftp服务器、 Samba服务器、NFS服务器的区别
qq18218628646的博客
09-19 2572
目录directory表示要共享出去的目录,值得注意的是,在启用NFS服务以前,系统管理员应该仔细一些,比如不小心共享了根目录/,并且给与用户读写权限,这是十分糟糕的问题。先在客户端创建一个挂接点,如 # mkdir /mnt/nfs ,而后使用命令把nfs服务器共享出来的目录挂接上,以第2步那个共享为例,我们挂接目录 /tmp , # mount –t nfs 192.168.222.129:/tmp /mnt/nfs //假定nfs服务器的ip地址是192.168.222.129。3、启用NFS服务。
Samba远程Shell命令注入执行漏洞(CVE-2007-2447)
p_utao的博客
09-02 3031
产生原因 传递通过MS-RPC提供的未过滤的用户输入在调用定义的外部脚本时调用/bin/sh,在smb.conf中,导致允许远程命令执行 实验环境 这里使用的目标机是metasploitable2 linux攻击机:192.168.43.113 linux目标机:192.168.43.23 利用攻击 首先对目标机进行扫描,收集可用的服务信息,使用nmap扫描查看系统开放端口和相关的应用程序 msf5 > nmap -sV 192.168.43.23 [*] exec: nmap -sV 192.16
ansible-role-samba:Ansible角色-Samba
01-31
9. **版本控制**:从`ansible-role-samba-master`的文件名可以看出,这个角色可能是在Git仓库中维护的,并且可能是master分支的最新版本。使用版本控制可以跟踪角色的更改,便于团队协作和回溯问题。 10. **Ansible...
LINUX-SAMBA服务配置.doc
11-29
SAMBA 安装配置需要安装多个软件包,包括 samba-common、samba-client、perl-Convert-ASN1、samba 和 xinetd。安装这些软件包可以使用 rpm 命令,例如: [root@rhel3 ~]# rpm -ivh /misc/cd/Server/samba-common-...
samba-3.0.33-3.14.el5.i386.rpm
11-07
samba安装包,samba-3.0.33-3.14.el5.i386.rpm,samba-client-2.2.7a-7.9.0.i386.rpm,samba-common-2.2.7a-7.9.0.i386.rpm
docker-samba:Samba服务器的Docker容器
05-27
Samba服务器 这是一个运行最新稳定版本的Samba的Docker容器。 首先,这为Time Machine提供了支持,而没有任何特殊的补丁程序。 我们的目标是使其轻量化,但目前的重点是使某些功能正常工作,因此可能有足够的清理...
【漏洞复现】Samba 远程命令执行CVE-2017-7494
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-13 1414
2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。属于严重漏洞,可以造成远程代码执行Samba实现Windows主机与Linux服务器之间的资源共享,Linux操作系统提供了Samba服务,Samba服务为两种不同的操作系统架起了一座桥梁,使Linux系统和Windows系统之间能够实现互相通信。...
SMB操作远程文件
weixin_44181671的博客
04-02 2376
SMB远程操作文件 下载远程文件,逐行修改符合条件的行内容,将修改完的文件重新上传到指定远程目录下 主要注意访问的url格式为: smb://账号user:密码password@访问的ip/要访问的文件路径/文件.txt package com.jidian.mdcs.util; import jcifs.smb.SmbFile; import jcifs.smb.SmbFileInputStream; import jcifs.smb.SmbFileOutputStream; import lom
利用Samba远程代码执行漏洞(CVE-2017-7494)获取shell
NatusVincere
04-02 746
use exploit/linux/samba/is_known_pipename(选择要使用的脚本)如果不知道靶机IP可以在靶机中输入ifconfig即可查看ip,一般eth0下的IP即为靶机IP。漏洞文件的位置在vulhub/samba/CVE-2017-7494下。search CVE-2017-7494(搜索漏洞编号,查找漏洞脚本)在该文件夹下右键打开控制台窗口,或者cd到该文件夹下。set rhost IP(设置为靶机的IP即可)。run(进行攻击),攻击完成后寻找flag。
2021-08-29 网安实验-Linux系统渗透测试之Samba远程代码执行
热门推荐
时光隧道
08-29 4万+
Samba源码安装及环境配置,对漏洞进行简单分析。 在攻击机上使用nmap检测靶机开放的端口和服务,Samba服务需开启445端口: nmap 10.1.1.100 可以看到目标主机139和445端口均已开启,139端口作用为获得smb服务,说明目标主机有可能存在Samba服务。 漏洞利用的exp文件位于/usr/share/metasploit-framework/modules/exploits/linux/samba/中: 启动metasploit: msfconsole 查找i
Samba 远程命令执行漏洞(CVE-2017-7494
07-29 4287
Samba 远程命令执行漏洞(CVE-2017-7494
Linux版SMB远程代码执行漏洞(CVE-2017-7494)-SambaCry 分析报告
counsellor的专栏
05-31 7566
背景2017年5月24日Samba官方发布了安全公告,在Samba 3.5.0 以后的版本中存在严重的代码执行漏洞(CVE-2017-7494)。在rpc_server/srv_pipe.c中的存在一个验证BUG,攻击者可以利用客户端上传恶意动态库文件到具有可写权限的共享目录中,之后发出请求,使服务器加载Samba运行目录以外的非法模块,导致恶意代码执行。漏洞公告=========== Descr
Samba远程代码执行漏洞(CVE-2017-7494)分析
weixin_34301307的博客
08-01 813
概述 2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中间的版本。360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行...
Samba远程代码执行漏洞(CVE-2017-7494)复现
m0_48520508的博客
01-06 2499
0x00简介 Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。 0x
yum install samba samba-common samba-client -y是什么命令
最新发布
06-14
`yum install samba samba-common samba-client -y` 是一个在Linux系统中使用Yum(Yellowdog Updater, Modified)包管理器执行的命令。Yum是基于RPM(Red Hat Package Manager)系统的,用于安装、更新和删除软件包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值