SMBeagle:一款功能強大的SMB文件共享安全審計工具
作者:Alpha_h4ck
SMBeagle是一款針對SMB文件共享安全的審計工具,該工具可以幫助廣大研究人員迅速查看網絡中所有的可視文件,并判斷目標文件是否可讀或可寫入。
關于SMBeagle
SMBeagle是一款針對SMB文件共享安全的審計工具,該工具可以幫助廣大研究人員迅速查看網絡中所有的可視文件,并判斷目標文件是否可讀或可寫入。該工具所有的掃描發現數據都將存儲至一個CSV文件中,或直接推送至Elasticsearch主機。
注意:SMBeagle會嘗試利用Win32 API來實現運行速度的最優化。
主要使用場景
研究重點在弱共享權限上:
- 各種規模的企業通常都有文件共享,但文件權限安全性很差。
- 大型企業在文件服務器上的共享空間越來越大,發現權限配置錯誤的敏感數據并不少見。
- 小型企業通常在辦公室的角落里有一個小型NAS,且沒有任何權限限制!
- SMBeagle將幫助研究人員獲取這些共享并列出它可以讀取和寫入的所有文件。當然了,如果SMBeagle能讀/寫,那么勒索軟件也可以讀/寫。
橫向滲透和權限提升:
- SMBeagle可以為滲透測試人員提供比較隱蔽的權限提升和橫線滲透路徑。
- 通過直接將數據輸出至Elasticsearch主機,測試人員可以快速找到可讀腳本和可寫可執行的文件。
- 在SMBeagle的幫助下,尋找水坑攻擊和未受保護的密碼從未如此容易。
工具架構
該工具基于模塊化構建,并使用了松散的耦合結構進行模塊之間的相互切換:
工具下載
廣大研究人員可以使用下列命令將該項目源碼克隆至本地:
- git clone https://github.com/punk-security/SMBeagle
工具使用
該工具執行唯一必需的參數就是設置輸出格式,也就是需要指定數據輸出至一個CSV文件中,或是設置Elasticsearch主機的IP地址。
建議廣大研究人員啟動快速模式,并將數據輸出至CSV文件中,但這個CSV文件可能會非常大:
- SMBeagle -c out.csv -f
工具完整使用
- USAGE:
- Output to a CSV file:
- SMBeagle -c out.csv
- Output to elasticsearch (Preffered):
- SMBeagle -e 127.0.0.1
- Disable network discovery and provide manual networks:
- SMBeagle -D -e 127.0.0.1 -n 192.168.12.0/23 192.168.15.0/24
- Scan local filesystem too (SLOW):
- SMBeagle -e 127.0.0.1 -l
- Do not enumerate ACLs (FASTER):
- SMBeagle -A -e 127.0.0.1
- -c, --csv-file 提供CSV文件路徑,將輸出結果保存至CSV
- -e, --elasticsearch-host 提供Elasticsearch主機名,將輸出結果保存至Elasticsearch
- -f, --fast 每個目錄枚舉一個文件權限
- -l, --scan-local-drives 掃描設備的本地驅動器
- -L, --exclude-local-shares 不掃描設備的本地驅動器machine
- -D, --disable-network-discovery 禁用網絡發現
- -n, --network 手動添加網絡掃描
- -N, --exclude-network 掃描中排除某個網絡
- -h, --host 手動添加主機掃描
- -H, --exclude-host 掃描中排除某個主機
- -q, --quiet 禁用不必要的輸出
- -v, --verbose 提供詳細輸出
- -m, --max-network-cidr-size (默認: 20) 掃描目標SMB主機網絡大小的最大值
- -A, --dont-enumerate-acls (默認: false) 跳過枚舉文件ACL
- --help 顯示幫助信息
- --version 顯示版本信息
項目地址
SMBeagle:【GitHub傳送門】
參考資料:https://github.com/punk-security/SMBeagle/blob/main/kibana/README.md
責任編輯:趙寧寧
來源:
FreeBuf
