SMB服务445端口利用汇总

一直以来在渗透的时候一旦遇到SMB就会开始手忙脚乱到处找利用方法，今天总算醒悟，写一篇自己的总结，慢慢更新，遇到了什么新鲜的思路都会往里面添加。

特征

使用nmap勘探会发现开放SMB的机器，会开放两个端口通常为139+445的组合

在不使用-sCV探测时

这两个端口运行的服务一般会显示为
139445
当具体探测之后两个端口则都会显示出一样的信息，有关具体的SMB版本

利用

壹

最简单的方法当然是利用已有漏洞，当然这种情况也是比较少遇到

当然我这种方法是不对的，搜索的时候请使用nmap探测到的smb版本号

除此之外，如果你搜索漏洞经常依靠searchsploit那么请记得时常更新你的漏洞库，使它保持最新

贰

其次比较容易想到的是弱口令，弱口令是在哪里都可以用到的东西。当我们发现这个机器的SMB可能没办法匿名连接的时候我们就需要用到弱口令爆破。

我在这里一般会使用Hydra

爆破SMB的方法和爆破SSH的方法没什么区别，毕竟一般不会因为尝试的次数太多而封你IP，爆就完了

 hydra -l admin -P /usr/share/wordlists/rovkyou。txt 10.10.45.13 SMB

注意rockyou是john自带的密码本

此外建议爆破弱口令这件事，建立在知道对方用户名的基础上，要不然几万条密码挨个试，十六线程也得跑个几天，等你跑出来，对面早就发现然后改强密码了。

叁

这是上面提到的匿名登陆的办法，为什么放在弱口令后面，因为忘了。。。

匿名登陆一般有一个硬性要求，就是你要知道他共享的文件夹的名字，这个要求就相当讨厌，此时我们需要用到一个目录爆破工具enum4linux

使用也很简单

enum4linux 192.168.41.93

就可以

这玩意有exe版本，详细用法可以使用-h来查看或者查看kali官方文档enum4linux（就是把-h写在网页上了，让你可以用google翻译）

找到具体文件夹之后就可以直接匿名登陆了

smbclient \\192.168.41.93\Download

进入后可以像linux命令一样操作，可以使用help来查看支持的命令