Nmap NSE Category vulns Script：smb-vuln-cve-2017-7494 檢查目標機器是否容易受到任意共享庫加載漏洞CVE-2017-7494的影響

• 指令類型：hostrule

• 類別：vuln, intrusive

• 下載：https://svn.nmap.org/nmap/scripts/smb-vuln-cve-2017-7494.nse

Nmap Script摘要

檢查目標機器是否容易受到任意共享庫加載漏洞 CVE-2017-7494 的影響。

Samba 的未修補版本，從 3.5.0 到 4.4.13，以及 4.5.10 和 4.6.4 之前的版本，受到一個漏洞的影響。該漏洞允許遠程代碼執行，惡意客戶端可以上傳一個共享庫到可寫共享，然後導致服務器加載並執行它。

默認情況下，腳本不掃描版本號，因為主流 Linux 發行版發布的補丁不會改變版本號。

腳本檢查發生漏洞利用的前提條件：

• 版本檢查：

如果應用了參數 check-version，腳本將只檢查運行可能容易受到攻擊的 Samba 版本的服務，並針對這些服務運行漏洞利用。這在您希望基於版本號快速掃描一組主機以查找漏洞時會很有用。然而，由於其版本號，一些打了補丁的版本可能仍然顯示為可能容易受到攻擊。我們使用 smb.get_os(host) 來對 Samba 版本進行版本控制，並比較它是否是已知的容易受到攻擊的版本。注意，這個檢查不是決定性的。

• 可寫共享檢查：

腳本檢查是否存在可寫共享以執行漏洞利用。我們必須能夠向共享寫入一個文件以進行漏洞利用。因此，我們使用 smb.share_find_writable(host) 列舉共享，它返回主名稱、主路徑和一個可寫共享列表。

• 解決方法檢查：

檢查是否應用了解決方法（禁用命名管道）。當在主機上配置了 “nt pipe support = no” 時，服務將不會被漏洞利用。因此，我們使用 smb.share_get_details(host, 'IPC$') 檢查是否在主機上配置了此設置。如果應用了解決方法，則返回的錯誤將是 “NT_STATUS_ACCESS_DENIED”。

• 有效負載調用：

使用 Metasploit 的有效負載，我們將庫文件上傳到從 2) 獲得的可寫共享。然後我們使用 NT_CREATE_ANDX_REQUEST 對實際的本地文件路徑進行命名管道請求，如果有效負載執行，則返回狀態將是 false。注意，本腳本只測試了 Linux_x86 和 Linux_x64 有效負載。

此腳本基於hdm撰寫的metasploit模塊。

參考資料：

https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/samba/is_known_pipename.rb

https://www.samba.org/samba/security/CVE-2017-7494.html

http://blog.nsfocus.net/samba-remote-code-execution-vulnerability-analysis/

Nmap Script參數

smb-vuln-cve-2017-7494.check-version

只檢查目標Samba服務的版本號。預設為：false

smbdomain, smbhash, smbnoguest, smbpassword, smbtype, smbusername

參見smbauth庫的文檔。

randomseed, smbbasic, smbport, smbsign

參見smb庫的文檔。

vulns.short, vulns.showall

參見vulns庫的文檔。

Nmap Script範例

nmap --script smb-vuln-cve-2017-7494 -p 445 <target>

nmap --script smb-vuln-cve-2017-7494 --script-args smb-vuln-cve-2017-7494.check-version -p445 <target>

Nmap Script輸出

PORT    STATE SERVICE
445/tcp open  microsoft-ds
MAC Address: 00:0C:29:16:04:53 (VMware)

| smb-vuln-cve-2017-7494:
|   VULNERABLE:
|   SAMBA Remote Code Execution from Writable Share
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-7494
|     Risk factor: HIGH  CVSSv3: 7.5 (HIGH) (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
|       All versions of Samba from 3.5.0 onwards are vulnerable to a remote
|       code execution vulnerability, allowing a malicious client to upload a
|       shared library to a writable share, and then cause the server to load
|       and execute it.
|
|     Disclosure date: 2017-05-24
|     Check results:
|       Samba Version: 4.3.9-Ubuntu
|       Writable share found.
|        Name: \\192.168.15.131\test
|       Exploitation of CVE-2017-7494 succeeded!
|     Extra information:
|       All writable shares:
|        Name: \\192.168.15.131\test
|     References:
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7494
|_      https://www.samba.org/samba/security/CVE-2017-7494.html

Nmap Script作者:

Wong Wai Tuck

License: Same as Nmap--See https://nmap.org/book/man-legal.html

延伸閱讀

• 網路概念

• 技術文章

• 經驗分享

• 軟體介紹

• Nmap（持續更新Script中文翻譯）