Smbmap

Úvod a kontext

smbmap je v tomto projektu praktický hlavně jako rychlá mapa SMB share, jejich oprávnění a zajímavých souborů. Není to plnohodnotný interaktivní klient jako smbclient a není to identitní enumerace jako rpcclient. Je to nástroj, který rychle odpoví na otázku: které share a cesty stojí za další práci.

Na RE ukáže anonymně přístupný share malware_dropbox. Na Intelligence rychle dovede ke skriptu downdetector.ps1 ve share IT. Na Sharpu vytáhne z anonymně čitelného share PortableKanban databázi. Na Arkhamu ukáže, že BatShare obsahuje appserver.zip. To je jeho praktická role: velmi rychle zúžit, kde jsou na SMB skutečně cenná data.

Co smbmap v praxi řeší

smbmap je nástroj na enumeraci SMB share a jejich obsahu. Prakticky odpovídá na otázky:

• jaké share jsou dostupné,
• s jakými právy,
• zda mají smysl procházet rekurzivně,
• a které soubory nebo složky vypadají z bezpečnostního pohledu důležitě.

Jeho hodnota je hlavně v rychlosti. Než se člověk začne interaktivně připojovat přes smbclient, může si rychle ověřit, kde je:

• read-only share s artefakty,
• zapisovatelný share,
• nebo cesta, která nese konkrétní další stopu.

Nejčastější scénáře využití v tomto projektu

Rychlá kontrola, zda SMB vůbec stojí za čas

Na RE byla kombinace IIS a SMB už sama o sobě zajímavá. smbmap rychle ukázal, že anonymně dostupný share malware_dropbox opravdu existuje:

smbmap -u "root" -p "" -d workgroup -H $IP

IPC$             READ ONLY
malware_dropbox  READ ONLY

To je důležitý moment. Ještě nejde o exploit, ale je jasné, že SMB není vedlejší služba. Je to přímý vstup do interní pipeline, která pak automaticky zpracovává nahrané dokumenty.

Rekurzivní hledání konkrétního artefaktu

Na Intelligence není hlavní hodnota SMB v samotném přístupu, ale v tom, co ve share leží. smbmap velmi rychle ukáže skript downdetector.ps1:

smbmap -H intelligence.htb -u Tiffany.Molina -p NewIntelligenceCorpUser9876 -R --depth 1

IT READ ONLY
downdetector.ps1

Praktický dopad je zásadní:

• není potřeba naslepo procházet celý share,
• hned je zřejmé, že tam leží skript,
• a ten skript pak otevře celý coercion řetězec.

Právě v tom je smbmap velmi silný. Umožní rychle vytáhnout bezpečnostně relevantní artefakt z místa, kde by ruční procházení bylo pomalejší. Tohle úzce souvisí i s článkem Metadata, logy, incidentní a forenzní artefakty jako zdroj přístupů.

Rychlá orientace v anonymních nebo guest share

Na Sharpu a Arkhamu je smbmap užitečný v tom, že hned ukáže, co na share leží a zda má cenu přecházet na interaktivní klient.

Na Arkhamu:

smbmap -H $IP -u username -p pass

BatShare   READ ONLY
Users      READ ONLY
appserver.zip

Na Sharpu:

smbmap -H $IP -R --depth 10

Tam je důležitý zejména kanban share a PortableKanban databáze. Tady smbmap funguje jako rychlý filtr: ukáže, že SMB má skutečný obsah a že mezi ním jsou artefakty, které stojí za okamžité stažení.

Kdy je smbmap nejlepší volba

Největší smysl dává tehdy, když:

• už máte anonymní, guest nebo platný SMB přístup,
• potřebujete rychle zjistit oprávnění a obsah share,
• a chcete si před další prací zkrátit prostor jen na relevantní cesty.

V těchto situacích bývá praktičtější než začít hned interaktivně v smbclientu, protože nejdřív dá celkovou mapu.

Co smbmap neumí vyřešit za vás

smbmap:

• sám neřeší identitní enumeraci,
• nevysvětlí význam nalezeného souboru,
• a není nejlepší nástroj na detailní ruční práci se stažením nebo úpravou obsahu.

Na RE je důležitý proto, že ukáže malware_dropbox. Na Intelligence proto, že vytáhne downdetector.ps1. Na Arkhamu proto, že ukáže appserver.zip. Ale další krok už často přebírá:

• smbclient,
• ruční analýza staženého souboru,
• nebo jiný nástroj.

Nejčastější chyby při použití

Záměna za plnohodnotný SMB klient

smbmap je nejcennější jako rychlá mapa. Jakmile už přesně víte, co potřebujete stáhnout nebo upravit, může být praktičtější jiný klient.

Příliš hluboké a hlučné rekurzivní procházení bez hypotézy

Rekurze je silná, ale má smysl hlavně tam, kde už víte:

• který share stojí za čas,
• jak hluboko má smysl jít,
• a jaký typ souboru hledáte.

Ignorování práv vedle obsahu

Nejde jen o to, co tam leží. Stejně důležité je, zda jde o:

• read-only share s artefakty,
• writeable share,
• nebo jen technický šum bez další hodnoty.

Nejčastější praktické scénáře

Potřebuji rychle zjistit, zda anonymní nebo guest SMB vydává něco hodnotného

To je RE, Sharp nebo Arkham.

Potřebuji najít konkrétní skript nebo artefakt ve share

To je Intelligence.

Potřebuji zkrátit prostor, než přejdu na interaktivní práci přes jiný SMB klient

To je obecně nejtypičtější role smbmapu v těchto rozborech.

Související články v projektu

• Rozbory: RE, Intelligence, Sharp, Arkham
• Techniky: Metadata, logy, incidentní a forenzní artefakty jako zdroj přístupů, Klientské, desktopové a ne-textové artefakty po footholdu, Špatně vystavené datové, storage a cloud-like služby

Co si odnést do praxe

• smbmap je nejpraktičtější jako rychlá mapa share, práv a zajímavých souborů před detailnější prací.
• Největší hodnotu má tam, kde SMB samo o sobě není cíl, ale cesta k artefaktu, skriptu nebo záloze.
• Nejde o náhradu za ruční analýzu obsahu. Je to nástroj, který velmi levně rozhodne, kde ten obsah vůbec stojí za pozornost.

Další Související Články V Projektu

HTB Stroje

• Writer
• Sniper
• Sharp

Techniky

• Automatizované zpracování souborů a bezpečnostní pipeline
• Legacy infrastruktura, kde banner prakticky rozhodne exploit
• Nebezpečné uploady: polygloty, WAR deploy a plugin upload

Nástroje

• enum4linux
• CrackMapExec
• Impacket pro AD enumeraci a první identity