AD侦查-SMB_2是什么意思？

本文通过 Google 翻译 AD Recon – NetBIOS (137/138/139) and SMB (445) Part-2 这篇文章所产生，本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。 导航 0 前言 1 系统枚举 1.1 getArch.py 1.2 DumpNTLMInfo.py 1.3 reg.py 1.3.1 枚举已装 KBs 1.3.2 枚举已装软件 1.3.3 枚举计划任务 1.3.4 枚举运行服务 1.3.5 枚举密码相关 2 域枚举 2.1 枚举域计算机 2.2 枚举域密码策略 3 用户枚举 3.1 枚举域用户 3.1.1 Impacket 脚本 3.1.2 CrackMapExec 3.1.3 Metasploit 4 组枚举 4.1 枚举域组 4.2 枚举本地组 5 漏洞枚举 5.1 Nmap 漏洞搜寻 5.2 CrackMapExec 漏洞搜寻 5.2.1 ZeroLogon 5.2.2 PrintNightmare 5.2.3 noPac 5.2.4 胁迫攻击：petitpotam、shadowcoerce、dfscoerce 6 提权后 SAM 哈希转储 7 命令执行 7.1 Impacket 脚本 7.1.1 psexec.py 7.1.2 smbexec.py 7.1.3 dcomexec.py 7.1.4 wmiexec.py 7.1.5 atexec.py 7.2 CrackMapExec 8 最后的想法 0、前言 在这篇文章中，我们将继续第 1 部分末尾的场景，而在上个场景中我们找到了一组有效的凭证。 从那里开始，我们将使用该凭据收集 系统、域、用户和组 的信息来进一步进行 SMB 枚举。接着，开始搜寻多年来困扰 SMB 的常见漏洞 (CVE)。最后，我们将回顾可以通过 SMB 执行远程命令的技术和工具，以及执行此操作所需的条件。 注意：有关 系统、域、用户和组 信息的枚举都可以通过 enum4linux 工具自动完成。 1、系统枚举 一旦找到了一组有效的凭证，我们首先要做的便是枚举目标机器系统相关的信息。为此，可以使用三种不同的 Impacket 工具来执行系统枚举：getArch.py、DumpNTLMInfo.py、reg.py 1.1、getArch.py 首先，我们将使用 getArch.py 工具去提取目标 Windows 主机的架构。 getArch.py -target 172.16.1.200 Perfect！该工具成功运行，并告诉我们 Windows 10 主机运行的是 x64 架构。 此外，该工具还支持批量检查多个主机架构。为此，我们可以将 nbtscan 扫描发现的 IP 地址全部写入到一个 TXT 文件中，然后交给该工具进行批量检测。 getArch.py -targets ./hosts.txt 1.2、DumpNTLMInfo.py 下一个工具是 DumpNTLMInfo.py，该工具提供了有关目标系统的一些非常有用的信息，包括 SMB 版本、主机名和操作系统版本。 DumpNTLMInfo.py 172.16.1.200 Great！从上面输出可知，这台主机运行的 SMB 版本是 3.0，并且启用了 SMBv1（重大发现！）、主机名是“JUGG-VCREED”，属于“JUGGERNAUT”域、主机版本是“Windows NT 10 – 19041”。 注：SMBv1 存在多个已知严重漏洞，例如 MS17-010（EternalBlue）。一旦启用 SMBv1，即使是打了补丁的系统，在配置错误或权限失控下仍可能被攻击。 记下“NT”部分，因为这不一定意味着是 Windows 10。 Windows NT 10 可能是 Windows 10、11，也可能是 Server 2016、2019、2022 中的任一个。 该页面显示了所有 Windows NT 版本的各种 version/build。通过这些信息，我们就可以对目标机上运行的操作系统做出合理的猜测。 例如，IP 为 172.16.1.200 的主机的内部版本号为 19041，而该版本号仅适用于 Windows 10。 此外，再检查 IP 为 172.16.1.5 的 DC 机器。 DumpNTLMInfo.py 172.16.1.5 可以看到，DC 主机的内部版本号是 17763，而由于这是 DC，因此我们知道它运行的一定是 Server。综合考虑这两个因素，我们可以推断出该 DC 运行的一定是 Server 2019。