139,445 - Pentesting SMB
Port 139
Ağ Temel Giriş/Çıkış Sistemi** (NetBIOS)**, yerel ağdaki (LAN) uygulamaların, PC'lerin ve Masaüstülerin ağ donanımıyla etkileşimde bulunmasını ve veri iletimini kolaylaştırmasını amaçlayan bir yazılım protokolüdür. NetBIOS ağında çalışan yazılım uygulamalarının tanımlanması ve konumu, genellikle bilgisayar adından farklı olan ve en fazla 16 karakter uzunluğunda olabilen NetBIOS adları aracılığıyla gerçekleştirilir. İki uygulama arasında bir NetBIOS oturumu, bir uygulamanın (istemci olarak hareket eden) TCP Port 139 kullanarak başka bir uygulamayı (sunucu olarak hareket eden) "çağırmak" için bir komut verdiğinde başlatılır.
Port 445
Teknik olarak, Port 139 'NBT üzerinden IP' olarak adlandırılırken, Port 445 'IP üzerinden SMB' olarak tanımlanmaktadır. SMB kısaltması, aynı zamanda Ortak İnternet Dosya Sistemi (CIFS) olarak da bilinen 'Sunucu İleti Blokları' anlamına gelir. Uygulama katmanı ağ protokolü olarak, SMB/CIFS genellikle dosyalara, yazıcılara, seri portlara paylaşılan erişimi sağlamak ve ağdaki düğümler arasında çeşitli iletişim biçimlerini kolaylaştırmak için kullanılır.
Örneğin, Windows bağlamında, SMB'nin doğrudan TCP/IP üzerinden çalışabileceği ve NetBIOS üzerinden TCP/IP'nin gerekli olmadığı, port 445'in kullanımıyla vurgulanmaktadır. Bunun aksine, farklı sistemlerde, port 139'un kullanımı gözlemlenir ve bu durum, SMB'nin NetBIOS üzerinden TCP/IP ile birlikte yürütüldüğünü gösterir.
SMB
Sunucu İleti Bloğu (SMB) protokolü, bir istemci-sunucu modelinde çalışarak dosyalara, dizinlere ve yazıcılar ile yönlendiriciler gibi diğer ağ kaynaklarına erişimi düzenlemek üzere tasarlanmıştır. Başlıca olarak Windows işletim sistemi serisi içinde kullanılan SMB, geriye dönük uyumluluğu sağlayarak, Microsoft'un daha yeni sürümlerine sahip cihazların eski sürümleri çalıştıranlarla sorunsuz etkileşimde bulunmasını sağlar. Ayrıca, Samba projesi ücretsiz bir yazılım çözümü sunarak, SMB'nin Linux ve Unix sistemlerinde uygulanmasını sağlar ve böylece SMB aracılığıyla çapraz platform iletişimini kolaylaştırır.
SMB sunucusu tarafından sağlanabilen yerel dosya sisteminin keyfi parçalarını temsil eden paylaşımlar, hiyerarşiyi sunucunun gerçek yapısından kısmen bağımsız olarak istemciye görünür kılar. Erişim Kontrol Listeleri (ACL'ler), erişim haklarını tanımlayarak, yürütme
, okuma
ve tam erişim
gibi özellikler de dahil olmak üzere kullanıcı izinleri üzerinde detaylı kontrol sağlar. Bu izinler paylaşımlara dayalı olarak bireysel kullanıcılara veya gruplara atanabilir ve sunucudaki yerel izinlerden farklıdır.
IPC$ Paylaşımı
IPC$ paylaşımına anonim bir boş oturum aracılığıyla erişim sağlanabilir, bu da adlandırılmış borular aracılığıyla sunulan hizmetlerle etkileşime olanak tanır. Bu amaçla enum4linux
aracı kullanışlıdır. Doğru bir şekilde kullanıldığında, şunları elde etmeyi sağlar:
İşletim sistemi hakkında bilgi
Üst etki alanı hakkında detaylar
Yerel kullanıcılar ve grupların derlenmesi
Kullanılabilir SMB paylaşımları hakkında bilgi
Etkili sistem güvenlik politikası
Bu işlevsellik, ağ yöneticileri ve güvenlik uzmanlarının bir ağdaki SMB (Sunucu İleti Bloğu) hizmetlerinin güvenlik durumunu değerlendirmesi için kritiktir. enum4linux
, hedef sistemin SMB ortamının kapsamlı bir görünümünü sağlar ve potansiyel zayıf noktaları belirlemek ve SMB hizmetlerinin uygun şekilde güvence altına alındığından emin olmak için esastır.
Yukarıdaki komut, enum4linux
'un target_ip
tarafından belirtilen bir hedefe karşı tam bir numaralandırma gerçekleştirmek için nasıl kullanılabileceğinin bir örneğidir.
NTLM Nedir
NTLM'nin ne olduğunu bilmiyorsanız veya nasıl çalıştığını ve nasıl kötüye kullanılabileceğini öğrenmek istiyorsanız, NTLM hakkında çok ilginç bulacağınız bu sayfada bu protokolün nasıl çalıştığı ve nasıl bundan faydalanabileceğiniz açıklanmaktadır:
pageNTLMSunucu Numaralandırma
Bir ağı tarayarak ana bilgisayarları arayın:
SMB sunucu sürümü
SMB sürümüne yönelik olası güvenlik açıklarını aramak için kullanılan sürümün bilinmesi önemlidir. Bu bilgi diğer kullanılan araçlarda görünmüyorsa, aşağıdaki adımları izleyebilirsiniz:
MSF yardımcı modülü olan auxiliary/scanner/smb/smb_version kullanın
Veya bu betiği kullanın:
Exploit ara
Olası Kimlik Bilgileri
Kullanıcı Ad(lar)ı | Yaygın şifreler |
(boş) | (boş) |
guest | (boş) |
Administrator, admin | (boş), password, administrator, admin |
arcserve | arcserve, yedek |
tivoli, tmersrvd | tivoli, tmersrvd, admin |
backupexec, backup | backupexec, backup, arcada |
test, lab, demo | password, test, lab, demo |
Kaba Kuvvet Saldırısı
SMB Ortam Bilgileri
Bilgi Edinme
Kullanıcıları, Grupları ve Oturum Açmış Kullanıcıları Sıralama
Bu bilgiler zaten enum4linux ve enum4linux-ng ile toplanmış olmalıdır.
Yerel kullanıcıları sıralama
Tek satır
Metasploit - Yerel kullanıcıları sırala
LSARPC ve SAMR rpcclient'ı Numaralandırma
pagerpcclient enumerationLinux'tan GUI bağlantısı
Terminalde:
xdg-open smb://cascade.htb/
Dosya tarayıcı penceresinde (nautilus, thunar, vb.)
smb://friendzone.htb/general/
Paylaşılan Klasörlerin Numaralandırılması
Paylaşılan klasörleri listeleme
Her zaman erişebileceğiniz bir şey olup olmadığını kontrol etmeniz önerilir, kimlik bilgileriniz yoksa null kimlik bilgileri/misafir kullanıcısı kullanmayı deneyin.
Paylaşılan bir klasöre bağlanma/Listeleme
Windows paylaşımlarını manuel olarak sıralayın ve bağlanın
Makine ana bilgisayarının paylaşımlarını görüntülemek için kısıtlı olabileceğiniz ve onları listelemeye çalıştığınızda bağlanılacak paylaşımların olmadığı gibi görünebileceği olasıdır. Bu nedenle, bir paylaşıma manuel olarak bağlanmayı denemek faydalı olabilir. Paylaşımları manuel olarak sıralamak için geçerli bir oturum (örneğin, boş oturum veya geçerli kimlik bilgileri) kullanırken NT_STATUS_ACCESS_DENIED ve NT_STATUS_BAD_NETWORK_NAME gibi yanıtları aramak isteyebilirsiniz. Bu yanıtlar, paylaşımın var olduğunu ve erişiminizin olmadığını veya paylaşımın hiç var olmadığını gösterebilir.
Windows hedefleri için yaygın paylaşım adları şunlardır:
C$
D$
ADMIN$
IPC$
PRINT$
FAX$
SYSVOL
NETLOGON
(Yaygın paylaşım adları Network Security Assessment 3. baskı kitabından alınmıştır)
Onlara bağlanmayı aşağıdaki komutu kullanarak deneyebilirsiniz:
veya bu betik (bir boş oturum kullanarak)
Örnekler
Windows'tan paylaşımları sıralama / üçüncü taraf araçları olmadan
PowerShell
CMD konsolu
MMC Eklentisi (grafiksel)
explorer.exe (grafiksel), mevcut olmayan gizli paylaşımları görmek için \\<ip>\
adresini girin.
Bir paylaşılan klasörü bağlama
Dosyaları İndirme
Kimlik bilgileri/Pass-the-Hash ile nasıl bağlanılacağını öğrenmek için önceki bölümleri okuyun.
Komutlar:
mask: dizin içindeki dosyaları filtrelemek için kullanılan maskeyi belirtir (ör. "" tüm dosyalar için)
recurse: rekürsif işlemi açıp kapatır (varsayılan: kapalı)
prompt: dosya adları için sormayı açıp kapatır (varsayılan: açık)
mget: maskesiyle eşleşen tüm dosyaları ana makineden istemci makineye kopyalar
(Smbclient'in man sayfasından bilgiler)
Alan Paylaşılan Klasörler Arama
Snaffler****
CrackMapExec örümcek.
-M örümcek_artı [--paylaşım <paylaşım_adı>]
--desen txt
Paylaşımlardan özellikle ilginç olanlar, Grup İlkesi aracılığıyla oturum açma yapılandırılmış kullanıcıların şifrelerini içerebilecek olan Registry.xml
adlı dosyalardır. Ya da kimlik bilgilerini içerdiği için web.config
dosyaları.
SYSVOL paylaşımı, etki alanındaki tüm kimlik doğrulama yapılmış kullanıcılar tarafından okunabilir. Orada birçok farklı toplu iş, VBScript ve PowerShell betiği bulabilirsiniz. İçindeki betikleri kontrol etmelisiniz çünkü şifreler gibi hassas bilgiler bulabilirsiniz.
Registry Okuma
Bazı keşfedilen kimlik bilgilerini kullanarak kayıt defterini okuyabilirsiniz. Impacket reg.py
kullanarak deneyebilirsiniz:
Saldırı Sonrası
Bir Samba sunucusunun varsayılan yapılandırması genellikle /etc/samba/smb.conf
konumunda bulunur ve bazı tehlikeli yapılandırmalara sahip olabilir:
Ayar | Açıklama |
| Mevcut paylaşımları listelemeye izin verilsin mi? |
| Dosyaların oluşturulmasını ve değiştirilmesini yasaklayın mı? |
| Kullanıcıların dosya oluşturmasına ve değiştirmesine izin verilsin mi? |
| Şifre kullanmadan hizmete bağlanmaya izin verilsin mi? |
| Belirli SID'lere atanan ayrıcalıkları onurlandırılsın mı? |
| Yeni oluşturulan dosyalara hangi izinler atanmalıdır? |
| Yeni oluşturulan dizinlere hangi izinler atanmalıdır? |
| Kullanıcının oturum açtığında hangi betik çalıştırılmalıdır? |
| Betik kapatıldığında hangi betik çalıştırılmalıdır? |
| Sihirli betik çıktısının nerede saklanması gerektiği? |
smbstatus
komutu sunucu ve kimin bağlı olduğu hakkında bilgi verir.
Kerberos Kullanarak Kimlik Doğrulama
Kerberos'a smbclient ve rpcclient araçları kullanılarak kimlik doğrulaması yapılabilir:
Komutları Yürütme
crackmapexec
crackmapexec, mmcexec, smbexec, atexec, wmiexec'ten herhangi birini istismar ederek komutları yürütebilir, varsayılan yöntemin wmiexec olduğunu belirtebilirsiniz. Kullanmak istediğiniz seçeneği belirtebilirsiniz --exec-method
parametresiyle:
Her iki seçenek de kurban makinede \pipe\svcctl üzerinden SMB aracılığıyla yeni bir hizmet oluşturacak ve onu kullanarak bir şeyi yürütecek (psexec yürütülebilir bir dosyayı ADMIN$ paylaşımına yükleyecek ve smbexec cmd.exe/powershell.exe'ye işaret edecek ve argümanlara yük --dosyasız teknik---- ekleyecek). Daha fazla bilgi psexec ve smbexec hakkında. Kali üzerinde /usr/share/doc/python3-impacket/examples/ konumunda bulunmaktadır.
-k parametresini kullanarak NTLM yerine kerberos ile kimlik doğrulaması yapabilirsiniz.
wmiexec/dcomexec
Port 135 üzerinden DCOM aracılığıyla disk dokunmadan veya yeni bir hizmet çalıştırmadan gizlice bir komut kabuğu yürütün. Kali üzerinde /usr/share/doc/python3-impacket/examples/ konumunda bulunmaktadır.
-k parametresini kullanarak NTLM yerine kerberos ile kimlik doğrulaması yapabilirsiniz.
Görev Zamanlayıcısı aracılığıyla komutları çalıştırın (\pipe\atsvc kullanarak SMB üzerinden). kali üzerinde /usr/share/doc/python3-impacket/examples/ konumunda bulunmaktadır.
Impacket referansı
https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/
Kullanıcı kimlik bilgilerini kaba kuvvet saldırısıyla denemek
Bu önerilmez, maksimum izin verilen deneme sayısını aşarsanız bir hesabı engelleyebilirsiniz
SMB iletme saldırısı
Bu saldırı, iç ağda SMB kimlik doğrulama oturumlarını yakalamak için Responder araç setini kullanır ve bunları bir hedef makineye iletir. Kimlik doğrulama oturumu başarılı ise sizi otomatik olarak bir sistem kabuğuna bırakacaktır. Bu saldırı hakkında daha fazla bilgi burada.
SMB-Trap
Windows kütüphanesi URLMon.dll, bir sayfa SMB aracılığıyla bazı içeriğe erişmeye çalıştığında ana bilgisayara otomatik olarak kimlik doğrulamaya çalışır, örneğin: img src="\\10.10.10.10\path\image.jpg"
Bu işlevlerle gerçekleşir:
URLDownloadToFile
URLDownloadToCache
URLOpenStream
URLOpenBlockingStream
Bazı tarayıcılar ve araçlar (örneğin Skype) tarafından kullanılır
MitMf kullanarak SMBTrap
NTLM Çalma
SMB Tuzaklama ile benzer şekilde, hedef sisteme kötü amaçlı dosyalar yerleştirme (örneğin SMB aracılığıyla) bir SMB kimlik doğrulama denemesine neden olabilir, böylece NetNTLMv2 hash'i Responder gibi bir araçla ele geçirilebilir. Hash daha sonra çevrimdışı kırılabilir veya bir SMB iletme saldırısında kullanılabilir.
HackTricks Otomatik Komutları
Last updated