一、 實驗目標
理解Samba遠程命令執(zhí)行漏洞的原理
掌握怎么利用Samba遠程命令執(zhí)行漏洞
鏈接:https://pan.baidu.com/s/1QueT0MgKqTK-4Y1pIThHSw 密碼:gc29
漏洞利用環(huán)境逝钥,將該文件夾放入裝有docker環(huán)境的Linux中
二数苫、 實驗原理
遠程命令執(zhí)行
Samba允許連接一個遠程的命名管道,并且在連接前會調(diào)用is_known_pipename()函數(shù)驗證管道名稱是否合法航徙。
Samba遠程命令執(zhí)行漏洞形成的原因
在is_known_pipename()函數(shù)中谈况,并沒有檢查管道名稱中的特殊字符嫩海,加載了使用該名稱的動態(tài)鏈接庫捂刺。導致攻擊者可以構(gòu)造一個惡意的動態(tài)鏈接庫文件,執(zhí)行任意代碼募寨。
該漏洞要求的利用條件:
擁有共享文件寫入權(quán)限族展,如:匿名可寫等
需要知道共享目錄的物理路徑
三、實驗步驟
步驟一
進入漏洞利用目錄運行測試環(huán)境
步驟二
測試環(huán)境運行后拔鹰,監(jiān)聽445端口仪缸,默認開啟了一個共享“myshare的”,共享的目錄為/home/share列肢,可讀可寫恰画。
我們可以在Linux下用smbclient(安裝apt install smbclient:)連接試試:
成功連接。大家測試的時候如果連接不成功瓷马,有可能是國內(nèi)運營商封了445端口拴还,最好在VPS上進行測試,比如上圖欧聘,我在本地進行測試片林,連接的是127.0.0.1。
步驟三
使用Metasploit工具來利用該漏洞,首先在kali運行最新版的Metasploit工具:
然后選擇模塊exploit/linux/samba/is_known_pipename费封,RHOST為目標IP(運行搬運工的主機的IP)焕妙,我這里是192.168.10.129。
注意弓摘,如果你能猜到目標可寫的目錄的絕對路徑焚鹊,比如當前這個測試環(huán)境,就設(shè)置一下set SMB_FOLDER /home/share韧献。如果在實戰(zhàn)中你猜不到絕對路徑末患,那么就不設(shè)置,無國界醫(yī)生會自動爆破一些路徑势决。
步驟四
執(zhí)行exploit
成功拿到外殼
