SMB是什么
SMB(Server Message Block)协议作为一种局域网文件共享传输协议,常被用来作为共享文件安全传输研究的平台。但是,SMB协议中采用控制文件安全传输的机制是使用客户身份验证的方式,该方式通过客户端向服务器端发送验证密码来获取文件传输的权限,不过针对该机制的网络攻击相对严重,攻击程序通过对验证密码的截获来窃取文件的访问权限,局域网下文件传输的安全性得不到保障。
协议端口
SMB的占用端口号主要是两个:
TCP 139端口:这是SMB最早的版本使用的端口,用于进行文件和打印机共享。
TCP 445端口:较新的SMB版本使用此端口,它提供了更安全的数据传输,支持更高级的安全特性。
SMB的利用
1、伪造smb服务
对于SMB协议,客户端在连接服务端时,默认先使用本机的用户名和密码hash尝试登录,所以攻击者可以模拟SMB服务器从而截获hash。
使用responder可伪造smb服务,使目标机器对responder服务器发起SMB请求,就会触发NTLM ⾝份验证,例如PHP远程文件包含漏洞迫使目标服务器发起SBM请求,从而截获密码hash。