前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >渗透测试中SMB服务漏洞检查checklist

渗透测试中SMB服务漏洞检查checklist

作者头像
安恒网络空间安全讲武堂
发布2019-09-27 19:42:29
3.5K0
发布2019-09-27 19:42:29
举报
文章被收录于专栏:安恒网络空间安全讲武堂

来源: https://0xdf.gitlab.io/2018/12/02/pwk-notes-smb-enumeration-checklist-update1.html#list-shares 由于我上个月一直在使用PWK / OSCP,在这个过程中,我注意到渗透SMB服务是一件很棘手的事情,不同的工具在不同的主机上有的失败有的成功。通过参考NetSecFocus发布的一些内容,我整理了一份在渗透测试中扫描SMB服务漏洞的检查列表。我将在每个部分中包含示例,但在我使用PWK实验室的地方,我会按照规则对数据进行脱敏展示。

  • 清单
  • 工具
  • 细节
  • 枚举主机名 - nmblookup
  • 扫描共享 - smbmap - smbclient - NMAP
  • 检查空会话 - smbmap - rpcclient - smbclient
  • 检查漏洞 - NMAP
  • 整体扫描 - enum4linux
  • 手动检查
  • Samba服务 - Windows
检查清单
  • 枚举主机名 - nmblookup -A [ip]
  • 列出共享文件
代码语言:javascript
复制
smbmap -H [ip/hostname]
echo exit | smbclient -L \\\\[ip]
nmap --script smb-enum-shares -p 139,445 [ip]
检查空会话
代码语言:javascript
复制
smbmap -H [ip/hostname]
rpcclient -U "" -N [ip]
smbclient \\\\[ip]\\[share name]
检查漏洞
代码语言:javascript
复制
nmap --script smb-vuln* -p 139,445 [ip]
整体扫描
代码语言:javascript
复制
enum4linux -a [ip]

手动检查

代码语言:javascript
复制
smbver.sh [IP] (port) [samba]
- 检查pcap
工具
  • nmblookup - 收集用于查找NetBIOS名称的TCP / IP客户端上的NetBIOS信息
  • smbclient - 一个类似于ftp的客户端,用于访问SMB共享
  • nmap - 通用的扫描工具,自带检查脚本
  • rpcclient - 执行客户端MS-RPC功能的工具
  • enum4linux - 枚举各种smb功能
  • wireshark

操作细节

枚举主机名
  • nmblookup
代码语言:javascript
复制
nmblookup -A [IP]
    -A - 按IP地址查找

使用示例:


    root@kali:~# nmblookup -A [ip]
    Looking up status of [ip]
        [hostname]      <00> -         M <ACTIVE>
        [hostname]      <20> -         M <ACTIVE>
        WORKGROUP       <00> - <GROUP> M <ACTIVE>
        WORKGROUP       <1e> - <GROUP> M <ACTIVE>
                       <03> -         M <ACTIVE>
        INet~Services   <1c> - <GROUP> M <ACTIVE>
        IS~[hostname]   <00> -         M <ACTIVE>
        MAC Address = 00-50-56-XX-XX-XX
扫描共享
  • smbmap
代码语言:javascript
复制
smbmap -H [ip/hostname]

此命令将显示主机上的共享以及你拥有的访问权限。 使用示例:

代码语言:javascript
复制
root@kali:/# smbmap -H [ip]
[+] Finding open SMB ports....
[+] User SMB session establishd on [ip]...
[+] IP: [ip]:445        Name: [ip]                                      
        Disk                                                    Permissions
        ----                                                    -----------
        ADMIN$                                                  NO ACCESS
        C$                                                      NO ACCESS
        IPC$                                                    NO ACCESS
        NETLOGON                                                NO ACCESS
        Replication                                             READ ONLY
        SYSVOL                                                  NO ACCESS

如果你获得了登录凭据,则可以重新运行来显示新访问权限:

代码语言:javascript
复制
root@kali:/# smbmap -H [ip] -d [domain] -u [user] -p [password]
    [+] Finding open SMB ports....
    [+] User SMB session establishd on [ip]...
    [+] IP: [ip]:445        Name: [ip]                                      
            Disk                                                    Permissions
            ----                                                    -----------
            ADMIN$                                                  NO ACCESS
            C$                                                      NO ACCESS
            IPC$                                                    NO ACCESS
            NETLOGON                                                READ ONLY
            Replication                                             READ ONLY
            SYSVOL                                                  READ ONLY
  • smbclient
代码语言:javascript
复制
echo exit | smbclient -L \\\\[ip]

exit会处理可能弹出的任何密码请求,因为我们正在检查null登录

代码语言:javascript
复制
-L - 获取给定主机的共享列表

使用示例:

代码语言:javascript
复制
root@kali:~# smbclient -L \\[ip]
Enter WORKGROUP\root's password:
        Sharename       Type      Comment
        ---------       ----      -------
        IPC$            IPC       Remote IPC
        share           Disk
        wwwroot         Disk
        ADMIN$          Disk      Remote Admin
        C$              Disk      Default share
Reconnecting with SMB1 for workgroup listing.
        Server               Comment
        ---------            -------
        Workgroup            Master
        ---------            -------
  • NMAP
代码语言:javascript
复制
nmap --script smb-enum-shares -p 139,445 [ip]
--script smb-enum-shares - 指定smb枚举脚本
-p 139,445 - 指定smb端口

使用示例:

代码语言:javascript
复制
root@kali:~# nmap --script smb-enum-shares -p 139,445 [ip]
    Starting Nmap 7.70 ( https://nmap.org ) at 2018-09-27 16:25 EDT
    Nmap scan report for [ip]
    Host is up (0.037s latency).
    PORT    STATE SERVICE
    139/tcp open  netbios-ssn
    445/tcp open  microsoft-ds
    MAC Address: 00:50:56:XX:XX:XX (VMware)
    Host script results:
    | smb-enum-shares:
    |   account_used: guest
    |   \\[ip]\ADMIN$:
    |     Type: STYPE_DISKTREE_HIDDEN
    |     Comment: Remote Admin
    |     Anonymous access: <none>
    |     Current user access: <none>
    |   \\[ip]\C$:
    |     Type: STYPE_DISKTREE_HIDDEN
    |     Comment: Default share
    |     Anonymous access: <none>
    |     Current user access: <none>
    |   \\[ip]\IPC$:
    |     Type: STYPE_IPC_HIDDEN
    |     Comment: Remote IPC
    |     Anonymous access: READ
    |     Current user access: READ/WRITE
    |   \\[ip]\share:
    |     Type: STYPE_DISKTREE
    |     Comment:
    |     Anonymous access: <none>
    |     Current user access: READ/WRITE
    |   \\[ip]\wwwroot:
    |     Type: STYPE_DISKTREE
    |     Comment:
    |     Anonymous access: <none>
    |_    Current user access: READ
    Nmap done: 1 IP address (1 host up) scanned in 10.93 seconds
检查空会话
  • smbmap
代码语言:javascript
复制
smbmap -H [ip/hostname]

将显示你可以使用给定凭据执行的操作(如果没有凭据,则显示空会话)。请参阅上一节中的示例。

  • rpcclient
代码语言:javascript
复制
rpcclient -U "" -N [ip]
-U "" -空会话
-N -没有密码

使用示例:

代码语言:javascript
复制
root@kali:~# rpcclient -U "" -N [ip]
rpcclient $>

之后,你可以运行rpc命令。

代码语言:javascript
复制
smbclient
smbclient \\\\[ip]\\[share name]

此命令会尝试连接到共享。包括尝试无密码(或发送空密码),这仍然有可能连接成功。 使用示例:

代码语言:javascript
复制
root@kali:~/pwk/lab/public# smbclient \\\\[ip]\\share
Enter WORKGROUP\root's password:
Try "help" to get a list of possible commands.
smb: \> ls
.                                   D        0  Thu Sep 27 16:26:00 2018
..                                  D        0  Thu Sep 27 16:26:00 2018
New Folder (9)                      D        0  Sun Dec 13 05:26:59 2015
New Folder - 6                      D        0  Sun Dec 13 06:55:42 2015
Shortcut to New Folder (2).lnk      A      420  Sun Dec 13 05:24:51 2015
1690825 blocks of size 2048. 794699 blocks available
检查漏洞
  • NMAP
代码语言:javascript
复制
nmap --script smb-vuln* -p 139,445 [ip]

--script smb-vuln* - 将运行所有smb漏洞扫描脚本 -p 139,445 - smb端口使用示例:

代码语言:javascript
复制
root@kali:~# nmap --script smb-vuln* -p 139,445 [ip]
        Starting Nmap 7.70 ( https://nmap.org ) at 2018-09-27 16:37 EDT
        Nmap scan report for [ip]
        Host is up (0.030s latency).
        PORT    STATE SERVICE
        139/tcp open  netbios-ssn
        445/tcp open  microsoft-ds
        MAC Address: 00:50:56:XX:XX:XX (VMware)
        Host script results:
        | smb-vuln-ms06-025:
        |   VULNERABLE:
        |   RRAS Memory Corruption vulnerability (MS06-025)
        |     State: VULNERABLE
        |     IDs:  CVE:CVE-2006-2370
        |           A buffer overflow vulnerability in the Routing and Remote Access service (RRAS) in Microsoft Windows 2000 SP4, XP SP1
        |           and SP2, and Server 2003 SP1 and earlier allows remote unauthenticated or authenticated attackers to
        |           execute arbitrary code via certain crafted "RPC related requests" aka the "RRAS Memory Corruption Vulnerability."
        |
        |     Disclosure date: 2006-6-27
        |     References:
        |       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2370
        |_      https://technet.microsoft.com/en-us/library/security/ms06-025.aspx
        |_smb-vuln-ms10-054: false
        |_smb-vuln-ms10-061: false
        | smb-vuln-ms17-010:
        |   VULNERABLE:
        |   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
        |     State: VULNERABLE
        |     IDs:  CVE:CVE-2017-0143
        |     Risk factor: HIGH
        |       A critical remote code execution vulnerability exists in Microsoft SMBv1
        |        servers (ms17-010).
        |
        |     Disclosure date: 2017-03-14
        |     References:
        |       https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
        |       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
        |_      https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
        |_smb-vuln-regsvc-dos: ERROR: Script execution failed (use -d to debug)
        Nmap done: 1 IP address (1 host up) scanned in 5.58 seconds
整体扫描
  • enum4linux
代码语言:javascript
复制
enum4linux -a [ip]

-a - 枚举所有 使用示例的输出很长,但要查找一些要点:

  • 输出类似于nmblookup
    • 检查空会话
  • 共享文件
    • 密码策略
    • RID循环输出
    • 域名信息
手动检查
  • samba ngrep是一个很好用的网络数据工具。在一个终端中运行
代码语言:javascript
复制
ngrep -i -d tap0 's.?a.?m.?b.?a.*[[:digit:]]' port 139

然后在另一个终端中运行

代码语言:javascript
复制
echo exit | smbclient -L [IP]

将丢弃包括版本在内的大量信息。 在PWK论坛上的rewardone发布了一个简洁的脚本来轻松获得Samba版本:

代码语言:javascript
复制
#!/bin/sh
#Author: rewardone
#Description:
# Requires root or enough permissions to use tcpdump
# Will listen for the first 7 packets of a null login
# and grab the SMB Version
#Notes:
# Will sometimes not capture or will print multiple
# lines. May need to run a second time for success.
if [ -z $1 ]; then echo "Usage: ./smbver.sh RHOST {RPORT}" && exit; else rhost=$1; fi
if [ ! -z $2 ]; then rport=$2; else rport=139; fi
tcpdump -s0 -n -i tap0 src $rhost and port $rport -A -c 7 2>/dev/null | grep -i "samba\|s.a.m" | tr -d '.' | grep -oP 'UnixSamba.*[0-9a-z]' | tr -d '\n' & echo -n "$rhost: " &
echo "exit" | smbclient -L $rhost 1>/dev/null 2>/dev/null
sleep 0.5 && echo ""
当您在运行Samba的盒子上运行它时,您会得到结果:
root@kali:~/pwk/lab/public# ./smbver.sh [IP]
[IP]: UnixSamba 227a

如有疑问,我们可以在PCAP中检查smb版本。下面是Unix Samba 2.2.3a的一个例子:

Window环境的渗透——Windows SMB版本比较复杂,但通过查看wireshark的抓取的数据包,会提供有关连接的大量信息。例如,我们可以过滤ntlmssp.ntlmv2_response来查看NTLMv2流量,就可以获取很多关于目标主机的系统信息。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-12-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 恒星EDU 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 检查清单
  • 检查空会话
  • 检查漏洞
  • 整体扫描
  • 工具
  • 操作细节
    • 枚举主机名
      • 扫描共享
        • 检查空会话
          • 检查漏洞
            • 整体扫描
              • 手动检查
              相关产品与服务
              网站渗透测试
              网站渗透测试(Website Penetration Test,WPT)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点,帮助管理者知道自己网络所面临的问题,同时提供安全加固意见帮助客户提升系统的安全性。腾讯云网站渗透测试由腾讯安全实验室安全专家进行,我们提供黑盒、白盒、灰盒多种测试方案,更全面更深入的发现客户的潜在风险。
              领券
              问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档