一、 实验目标

理解Samba远程命令执行漏洞的原理

掌握怎么利用Samba远程命令执行漏洞

链接：https://pan.baidu.com/s/1QueT0MgKqTK-4Y1pIThHSw 密码：gc29

漏洞利用环境，将该文件夹放入装有docker环境的Linux中

二、 实验原理

远程命令执行

Samba允许连接一个远程的命名管道，并且在连接前会调用is_known_pipename()函数验证管道名称是否合法。

Samba远程命令执行漏洞形成的原因

在is_known_pipename()函数中，并没有检查管道名称中的特殊字符，加载了使用该名称的动态链接库。导致攻击者可以构造一个恶意的动态链接库文件，执行任意代码。

该漏洞要求的利用条件：

拥有共享文件写入权限，如：匿名可写等

需要知道共享目录的物理路径

三、实验步骤

步骤一

进入漏洞利用目录运行测试环境

步骤二

测试环境运行后，监听445端口，默认开启了一个共享“myshare的”，共享的目录为/home/share，可读可写。

我们可以在Linux下用smbclient（安装apt install smbclient:)连接试试：

成功连接。大家测试的时候如果连接不成功，有可能是国内运营商封了445端口，最好在VPS上进行测试，比如上图，我在本地进行测试，连接的是127.0.0.1。

步骤三

使用Metasploit工具来利用该漏洞，首先在kali运行最新版的Metasploit工具：

然后选择模块exploit/linux/samba/is_known_pipename，RHOST为目标IP（运行搬运工的主机的IP），我这里是192.168.10.129。

注意，如果你能猜到目标可写的目录的绝对路径，比如当前这个测试环境，就设置一下set SMB_FOLDER /home/share。如果在实战中你猜不到绝对路径，那么就不设置，无国界医生会自动爆破一些路径。

步骤四

执行exploit

成功拿到外壳