渗透测试之SMB枚举指南（渗透测试bypass）

概述

SMB全称是Server Message Block(服务器消息块)，又称网络文件共享系统，是一种应用层网络传输协议。SMB被广泛地应用于在计算机间共享文件、端口、命名管道和打印机等。系统上的不同应用程序可以同时读取和写入文件，并向服务器请求服务。 此外，SMB可以直接在TCP/IP或其他网络协议上运行。通过SMB，用户或任何经授权的应用程序都可以访问远程服务器上的文件或其他资源，并且可以执行读取、创建和更新数据等操作。

本文主要介绍了枚举目标系统/服务器上SMB服务的方法，我们将通过这些工具在SMB上寻找不同类型的信息。

SMB枚举之主机名

• nmblookup

nmblookup用于在网络中查询NetBIOS名称，并将其映射到对应的IP地址。可以使用合适的选项来允许nmblookup查询一个IP广播域或是一个单独的机器，所有的查询都是通过UDP完成的。

对于唯一名称：

00: 工作站服务(Workstation Service)

03: 信使服务(Windows Messenger Service)

06: 远程访问服务(Remote Access Service)

20: 文件服务(File Service)

21: 远程访问服务客户端(Remote Access Service client)

1B: 网域主浏览器(Domain Master Browser )

1D: 主浏览器(Master Browser)

对于组名称：

00: 工作站服务(Workstation Service)

1C: 域名的域控制器(Domain Controllers for a domain)

1E: 浏览器服务选择(Browser Service Elections)

nmblookup -A 192.168.1.17

从上图可以看出，我们已经枚举出主机名为DESKTOP-ATNONJ9。

• nbtscan

NBTscan是用于扫描IP网络以获取NetBIOS名称信息的程序。它会将NetBIOS状态查询发送到所提供范围内的每个地址，并以可读格式列出接收到的信息。对于每个响应的主机，它列出了IP地址、NetBIOS计算机名称、登录的用户名和MAC地址(例如以太网)。

nbtscan 192.168.1.17

从上图可以看出，我们已经枚举出主机名为DESKTOP-ATNONJ9。

• nbstat NSE脚本

nmap脚本会尝试检索目标的NetBIOS名称和MAC地址。默认情况下，该脚本将显示计算机的名称和已登录的用户。需要详细的检查，它将显示系统认为拥有的所有名称，它还可以显示了我们在nmblookup工具中研究过的标志。

nmap --script nbstat.nse 192.168.1.17

从上图可以看出，我们已经枚举出主机名为DESKTOP-ATNONJ9。

• nbtstat

nbtstat命令用于查看在TCP/IP协议之上运行NetBIOS服务的统计数据，并可以查看本地和远程计算机上的NetBIOS名称列表，它还可以读取NetBIOS名称缓存。此命令允许刷新NetBIOS名称缓存和在Windows Internet名称服务(WINS)中注册的名称。当不带任何参数使用时，该命令将显示“帮助信息”。仅当在 "网络连接" 中网络适配器的属性中将 "Internet 协议" (TCP/IP) 协议安装为组件时，此命令才可用。

nbtstat -A 192.168.1.17

从上图可以看出，我们已经枚举出主机名为DESKTOP-ATNONJ9。

• Ping

我们还可以使用ping命令来检测SMB服务器或计算机的主机名。-a参数指定要在目标IP地址上执行的反向名称解析。如果ping成功，将显示对应的主机名。

ping -a 192.168.1.17

从上图可以看出，我们已经枚举出主机名为DESKTOP-ATNONJ9。

• smb-os-discovery NSE脚本

NSE脚本尝试通过SMB协议(端口445或139)确定操作系统、计算机名称、域、工作组和当前时间。可以通过使用匿名帐户(或适当的用户帐户)发起会话来实现；响应会话开始，服务器将发回以上信息。

输出中可能包含以下字段：

• 操作系统(OS)

• 计算机名称(Computer name)

• 域名(Domain name)

• 域林名称(Forest name)

• 全限定域名(FQDN)

• NetBIOS计算机名称

• NetBIOS域名

• 工作组(Workgroup)

• 当前时间(System time)

nmap --script smb-os-discovery 192.168.1.17

从上图可以看出，我们已经枚举出主机名为DESKTOP-ATNONJ9。

SMB枚举之共享和空会话

如上所述，SMB可用于共享文件和资源。为了传输这些文件或资源，存在共享数据流。网络上的每个人都可以访问公共共享，以及用户特定的共享。

• SMBMap

SMBMap允许用户枚举整个域中的samba共享驱动器。用户可以使用该工具列出共享驱动器、驱动器权限、共享内容、上传/下载功能、文件名自动下载模式匹配，甚至远程执行命令。该工具原本的设计初衷是为了简化在大型网络中搜索潜在敏感数据的过程。

smbmap -H 192.168.1.40

如上图所示，我们可以看到目标计算机有一些共享。对guest的共享，一定是公共共享。让我们使用该用户的凭据来枚举对特定用户的共享。

smbmap -H 192.168.1.17 -u raj -p 123

• smbclient

smbclient是客户端软件，是测试与Windows共享连接的有用工具。它可用于传输文件或查看共享名。此外，它具有“ tar”(备份)功能，可以将文件从服务器还原到客户端，反之亦然。我们枚举了目标计算机，并直接使用smbclient找到了guest共享。然后，我们连接到guest共享，发现一个名为file.txt的文本文件。我们可以使用get命令对该文件进行下载。

smbclient -L 192.168.1.40smbclient //192.168.1.40/guestget file.txt

现在，我们枚举对特定用户的共享。我们以raj用户身份连接到SMB，并找到名为“ share”的共享。我们重新配置了smbclient命令以访问共享，看到了一个名为raj.txt的文件。同样，我们也可以使用get命令对该文件进行下载。

smbclient -L 192.168.1.17 -U raj%123smbclient //192.168.1.17/share -U raj%123get raj.txt

• smb-enum-shares NSE脚本

该NSE脚本尝试使用srvsvc.NetShareEnumAll MSRPC函数列出共享，并使用srvsvc.NetShareGetInfo检索与其有关的更多信息。如果对这些函数的访问被拒绝，将检查通用共享名称列表。

nmap --script smb-enum-shares -p139,445 192.168.1.17

从上图，我们可以看出尽管拒绝访问，但确认了存在共享。

• Net view

显示指定计算机共享的域名、计算机或资源的列表。输入不带参数的Net view显示当前域的计算机列表。在Windows系统上，输入带有/All参数的net view，可以列出目标计算机上的所有共享。

net view \192.168.1.17 /All

然后，我们通过添加共享更改命令，并且我们能够读取该共享的内容。现在，使用copy命令，我们可以从共享下载文件。

• Metasploit: smb_enumshares

smb_enumshares模块可以枚举远程系统上可用的所有SMB共享。它需要目标服务器或计算机的IP地址，以及可以访问共享的凭证信息。

use auxiliary/scanner/smb/smb_enumsharesset rhosts 192.168.1.17smbuser rajsmbuser pass 123exploit

• CrackMapExec

CrackMapExec(又称CME)是一种后渗透工具，帮助自动评估大型活动目录网络的安全性。CME出于隐身考虑而构建，遵循“不着陆”的概念：滥用内置的Active Directory功能/协议以实现其功能，并使其逃避大多数端点保护/IDS/IPS解决方案。CrackMapExec可以映射网络主机、生成中继列表、枚举共享和访问、枚举活动会话、枚举磁盘、枚举登录用户、枚举域用户，通过暴力破解RID枚举用户、枚举域组、枚举本地组等。

crackmapexec smb 192.168.1.17 -u 'raj' -p '123' --shares

从上图中，我们可以看到不同的共享以及该特定共享所允许的权限。

• rpcclient

rpcclient最初是为了测试Samba本身中的MS-RPC功能而开发的。现在，许多系统管理员都基于该工具编写了脚本，以便从UNIX工作站管理Windows NT客户端。我们将通过使用该工具的netshareenum选项来枚举SMB共享上的用户，如下图所示。

rpcclient -U "" -N 192.168.1.40netshareenumnetshareenumall

SMB枚举之漏洞扫描

• smb-vuln NSE脚本

Nmap过去曾有一个名为smb-check-vulns的脚本。它可以用于扫描目标服务器以查找各种漏洞，例如：

• conficker

• cve2009-3103

• ms06-025

• ms07-029

• regsvc-dos

• ms08-067

之后，该脚本被划分为可以单独运行的单个漏洞检查，例如smb-vuln-ms08-067。因此，要检查Nmap脚本引擎中所有可用的SMB漏洞，我们要在脚本中使用*。

nmap --script smb-vuln* 192.168.1.16

SMB枚举之用户名

• smb_lookupsid

smb_lookupsid模块对一系列目标进行暴力SID查找，以确定系统中存在哪些本地用户。知道系统上存在哪些用户可以极大地加快下一步的暴力登录尝试。

use auxiliary/scanner/smb/smb_lookupsidset rhosts 192.168.1.17set smbuser rajset smbpass 123exploit

从以上图片中，可以看出通过枚举SMB，我们得到了raj和aart这两个用户名。

• Impacket: Lookupsid

安全标识符(SID)是可变长度的唯一值，用于标识用户帐户。通过SID用户枚举，我们可以提取存在的用户及其数据信息。Lookupsid脚本可以枚举本地和域用户。该攻击也有一个Metasploit模块。如果您打算向目标服务器注入金票(golden ticket)或银票(silver ticket)，需要满足的条件之一就是500个用户的SID。Lookupsid.py可以在这种情况下使用。我们可以按以下格式的输入Lookupsid参数：

python3 lookupsid.py DESKTOP-ATNONJ9/raj:123@192.168.1.17

SMB枚举之Enum4Linux

Enum4linux是用于枚举windows和Linux系统上的SMB服务的工具。Enum4linux可以发现以下内容：

• 域和组成员

• 用户列表

• 设备上的共享(驱动器和文件夹)

• 目标上的密码策略

• 远程目标的操作系统

我们先使用enum4linux进行常规扫描。它将提取RID范围、用户名、工作组、Nbtstat信息、会话、SID信息、操作系统信息。

enum4linux 192.168.1.40

从上图中可以看出该工具还基于SID提取了两个用户名privs和ignite。该用户信息是enum4linux脚本通过SMB通道进行通信提取的。

最后，我们枚举了guest共享。然后，我们看到它试图枚举打印共享和IPC的内部内容，但受到了限制。然后，我们获得了有关系统用户的密码策略信息。它将枚举最近更改过或从未更改过的密码。该工具还提取了用户复杂性和其他内容，以及目标的操作系统。