Guía de Metasploitable - Episodio 3 - Samba

Llega el tercer episodio de la guía de Metasploitable de Japtron.

Esta vez veremos cómo explotar la vulnerabilidad CVE-2007-2447 que afecta a la funcionalidad MS-RPC del demonio de Samba, de la versión 3.0.0 a la 3.0.25rc3, debido a que no sanea algunos parámetros de entrada como argumentos a /bin/sh, permitiendo a un atacante la ejecución de órdenes remotas.

Para aprovecharse de este fallo, es posible realizar peticiones anónimas a la función MS-RPC SamrChangePassword() si la opción "username map script" está habilitada en smb.conf, una opción que no se habilita por defecto pero que si lo está (intencionadamente) en Metasploitable.

En el vídeo podremos ver como, si utilizamos el módulo correspondiente de Metasploit y sin autenticación (el mapeo de usuarios es previo a la autenticación), podemos obtener fácilmente una sesión remota como root.

Además esta vulnerabilidad podría utilizarse también contra servidores de impresión y archivos Samba llamando a otros scripts externos o funciones ("add printer command" por ejemplo) aunque, eso sí, en este caso
si necesitaríamos estar previamente autenticados (disponer de las credenciales de un usuario).



Guía de Metasploitable
Episodio 1 - distccd + escalado de privilegios

Episodio 2 - PostgreSQL + SSH
Episodio 3 - Samba

Comentarios