SMB - 445

SMB - 445

Uso de crackmapexec

Escaneo básico

crackmapexec smb 10.10.10.192

Validación de credenciales

crackmapexec smb 10.10.10.192 -u support -p '#00^BlackKnight'

Es posible que sean solamente válidas a nivel de Workstation y no de dominio

crackmapexec smb 10.10.10.125 -u 'reporting' -p 'PcwTWTHRwryjc$c6'
SMB         10.10.10.125    445    QUERIER          [*] Windows 10.0 Build 17763 x64 (name:QUERIER) (domain:HTB.LOCAL) (signing:False) (SMBv1:False)
SMB         10.10.10.125    445    QUERIER          [-] HTB.LOCAL\reporting:PcwTWTHRwryjc$c6 STATUS_NO_LOGON_SERVERS
crackmapexec smb 10.10.10.125 -u 'reporting' -p 'PcwTWTHRwryjc$c6' -d WORKSTATION
SMB         10.10.10.125    445    QUERIER          [*] Windows 10.0 Build 17763 x64 (name:QUERIER) (domain:WORKSTATION) (signing:False) (SMBv1:False)
SMB         10.10.10.125    445    QUERIER          [+] WORKSTATION\reporting:PcwTWTHRwryjc$c6

Montura en Sistema Local

Básica (Null Session)

root@kali# mount -t cifs //10.10.10.192/profiles$ /mnt
Password for root@//10.10.10.192/profiles$:

Leer permisos

Listar recursos con smbmap

Listar para uno de ellos

SMB Relay

La configuración del Responder.conf tiene que estar setteado todo en ON. En caso de que el SMB no esté firmado, es posible obtener hashes NetNTLMv2 al producir un envenamiento

En caso de estar en tenencia de credenciales de un usuario Administrador local, se puede hacer lo siguiente:

En la configuración del Responder, modifico el HTTP y SMB a OFF. CReo un archivo targets.txt que va a contener la IP de un cliente, en mi caso, la 192.168.16.132. Vuelvo a ejeuctar de la misma manera de antes, pero añadiendo el ntlmrelayx.py

De esta manera, puedo dumpear la SAM del equipo para hacer posteriormente un PassTheHash

Incluso se puede llegar a ejecutar comandos

Puede darse el caso de que por IPv4 el SMB esté firmado, pero por IPv6, es posible hacer un realme de las credenciales para ejecutar comandos como otro usuario sin conocer la contraseña. Por defecto, todas las máquinas Windows solicitan tráfico IPv6. Por tanto, el envenenamiento tiene que efectuarse por este protocolo

Con esto lo que se consigue es que la Puerta de Enlace Predeterminada se convierta en mi dirección IPv6

Obtener todas las rutas de SMB con spyder

PreviousRPC - 135NextVNC - 5900

Last updated