安全研究

安全漏洞
Samba 2.0.7 SWAT 设计漏洞

发布日期:2000-10-31
更新日期:2000-10-31

受影响系统:
Samba 2.0.7
       - Redhat Linux 6.2(etc.)
描述:

samba 2.0.7里附带的swat程序存在设计错误,存在被在线穷举用户名/口令的可能。
当用户输入正确的用户名、不正确的口令时,swat挂起两秒后提示:

401 Authorization Required

You must be authenticated to use this service.

当用户输入不正确的用户名/口令时,swat立即提示:

401 Bad Authorization

username/password must be supplied

t12写了如下代码:

http://www.uberhax0r.net/~miah/swat/code/flyswatter.c

该程序利用上述不同错误反应产生一个有效用户名列表,并穷举相应口令,在
FreeBSD测试通过。

糟糕的是swat默认情况下没有启用日志功能,在samba-2.0.7/source/web/cgi.c
文件中有这么一行:

#define CGI_LOGGING 0

修改成:

#define CGI_LOGGING 1

重新编译安装运行,将启用日志功能。

然而更糟糕的事情发生了,swat没有检查日志文件是否已经存在就毫不迟疑地覆盖写
入来自客户端用户的任意输入内容:

ln -s /etc/passwd /tmp/cgi.log (译者--原文有误)

telnet localhost 901
--输入如下内容--
rootuser::0:0::/:/bin/bash
--  挂断连接  --

此时查看/etc/passwd文件,看到如下内容:

[Date: Mon, 23 Oct 2000 16:03:13 GMT localhost.localdomain (127.0.0.1)]
rootuser::0:0::/:/bin/bash

尽管/etc/passwd文件被破坏,但不妨碍你取得root权限。

可以使用下列脚本、C源代码、预编译好的Linux下二进制代码:
http://www.uberhax0r.net/~miah/swat/code/swat-exp.sh
http://www.uberhax0r.net/~miah/swat/code/swat-exp.c
http://www.uberhax0r.net/~miah/swat/code/swat-exp.linux (code by optyx)

这里有一个补丁
http://www.uberhax0r.net/~miah/swat/code/cgi.c.fixed (fix by optyx)

如果/tmp/cgi.log已经存在,你就无法利用符号链接技巧。然而cgi.log包含了来自
客户端的所有输入,其中包括用户名/口令,采用base64编码方式保存。绝大多数时
候,swat管理员将以root身份登录修改smb.conf文件,你可以运行gimme-login.sh脚
本从cgi.log文件中获取登录列表。

Swat还很容易遭受拒绝服务攻击。将登录URL从默认的"hostname:901"换成例如
"hostname:901?somerandomfile"这样的内容,提供不正确的用户名/口令,swat提示:

Authentication Required

此时inetd将重启swat。如果正在使用netscape,netscape将立即重试,最终导致
inetd关闭swat服务长达10分钟左右,依赖于具体的inetd配置,我们是在
redhat linux 6.2上测试得到这个结论的。

<* 来源:miah、t12、optyx *>



测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!


可以使用下列脚本、C源代码、预编译好的Linux下二进制代码:
http://www.uberhax0r.net/~miah/swat/code/swat-exp.sh
http://www.uberhax0r.net/~miah/swat/code/swat-exp.c
http://www.uberhax0r.net/~miah/swat/code/swat-exp.linux (code by optyx)



建议:
这里有一个补丁
http://www.uberhax0r.net/~miah/swat/code/cgi.c.fixed (fix by optyx)

浏览次数:6017
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障