运行测试环境
docker-compose up -d
Samba版本:4.6.3(该漏洞在4.6.4被修复)
Samba允许连接一个远程的命名管道,并且在连接前会调用is_known_pipename()函数验证管道名称是否合法。在is_known_pipename()函数中,并没有检查管道名称中的特殊字符,加载了使用该名称的动态链接库。导致攻击者可以构造一个恶意的动态链接库文件,执行任意代码。
该漏洞要求的利用条件:
- 拥有共享文件写入权限,如:匿名可写等
- 需要知道共享目录的物理路径
参考:
- https://www.twistlock.com/2017/06/04/security-alert-new-samba-vulnerability-cve-2017-7494/
- http://bobao.360.cn/learning/detail/3900.html
测试环境运行后,监听445端口,默认开启了一个共享“myshare”,共享的目录为/home/share,可读可写。
我们可以在Linux下用smbclient(安装:apt install smbclient)连接试试:
成功连接。大家测试的时候如果连接不成功,有可能是国内运营商封了445端口,最好在VPS上进行测试,比如上图,我在本地进行测试,连接的是127.0.0.1。
然后使用metasploit来利用该漏洞,首先在Docker中运行最新版的metasploit:
git clone [email protected]:rapid7/metasploit-framework.git
cd metasploit-framework
chmod 0777 $HOME/.msf4/
docker-compose run --rm --service-ports ms
然后选择模块exploit/linux/samba/is_known_pipename,RHOST为目标IP(运行docker的主机的IP),我这里是127.0.0.1。
注意,如果你能猜到目标可写的目录的绝对路径,比如当前这个测试环境,就设置一下set SMB_FOLDER /home/share。如果在实战中你猜不到绝对路径,那么就不设置,msf会自动爆破一些路径。
成功拿到shell。