SMBeagle SMB文件共享审计工具搜索并检测读写权限

SMBeagle SMB文件共享审计工具搜索并检测读写权限

介绍

SMBeagle 是一种 (SMB) 文件共享审计工具,它可以搜索它可以在网络中看到的所有文件,并报告文件是否可以读取和或写入。所有这些发现都会流式传输到 CSV 文件或弹性搜索主机,或两者兼而有之

SMBeagle 尝试使用 win32 API 来获得最大速度,但失败返回到较慢的 ACL 检查。

它有 2 个很棒的用例:

        ____              __   _____                      _ __
       / __ \__  ______  / /__/ ___/___  _______  _______(_) /___  __
      / /_/ / / / / __ \/ //_/\__ \/ _ \/ ___/ / / / ___/ / __/ / / /
     / ____/ /_/ / / / / ,<  ___/ /  __/ /__/ /_/ / /  / / /_/ /_/ /
    /_/    \__,_/_/ /_/_/|_|/____/\___/\___/\__,_/_/  /_/\__/\__, /
                                           PRESENTS         /____/

                         -- SMBeagle v1.1.1 --

关注弱共享权限

各种规模的企业通常拥有具有糟糕文件权限的文件共享。

大型企业在文件服务器上拥有庞大的份额,并且发现具有错误配置权限的敏感数据并不少见。

小型企业经常在办公室的角落里有一个小型 NAS,完全没有任何限制!

SMBeagle 抓取这些共享并列出它可以读取和写入的所有文件。如果它可以读取它们,那么勒索软件也可以。

横向移动和特权升级

SMBeagle 可以为渗透测试人员提供不太明显的途径来提升权限和横向移动。

通过直接输出到 elasticsearch 中,测试人员可以快速找到可读的脚本和可写的可执行文件。

发现水坑攻击和未受保护的密码从未如此简单!

Kibana 仪表板

有关安装和使用 Kibana 仪表板的详细说明,请参阅Kibana 自述文件,这些仪表板提供管理视觉效果并使数据透视变得更加容易。

安装

  • 转到 repo 右侧的最新版本 >>>>
  • 下载win_x64.zip(目前只支持64位)
  • 解压缩下载并从命令提示符或 powershell 终端运行 SMBeagle.exe

用法

唯一的强制参数是设置输出,它应该是弹性搜索主机 IP 地址或 csv 文件。

一个好的起点是启用快速模式并输出到 csv,但这个 CSV 可能会变得很大,具体取决于它找到的文件数量。

./SMBeagle.exe -c out.csv -f

完整使用方法

用法:
输出到CSV文件:
  SMBeagle -c out.csv
输出到elasticsearch(优选):
  SMBeagle -e 127.0.0.1
输出到elasticsearch和CSV:
  SMBeagle -c out.csv -e 127.0.0.1
禁用网络发现,并提供手动网络:
  SMBeagle -D -e 127.0.0.1 -n 192.168.12.0./23 192.168.15.0/24
扫描本地文件系统(慢):
  SMBeagle -e 127.0.0.1 -l
不枚举acl (更快):
  SMBeagle -A -e 127.0.0.1

  -c, --csv-file                     (Group: output)通过提供文件路径将结果输出到CSV文件中
  -e, --elasticsearch-host           (Group: output) 通过提供elasticsearch主机名(端口自动设      置为9200)将结果输出到elasticsearch
  -f, --fast                         每个目录仅枚举一个文件权限
  -l, --scan-local-drives            扫描此机器上的本地驱动器
  -L, --exclude-local-shares         不扫描本机的本地驱动器
  -D, --disable-network-discovery    禁用网络发现
  -n, --network                      手动添加网络扫描
  -N, --exclude-network              排除扫描网络
  -h, --host                         手动添加待扫描的主机
  -H, --exclude-host                 排除扫描主机
  -q, --quiet                        禁用不必要的输出
  -v, --verbose                      提供更多的输出
  -m, --max-network-cidr-size        (默认值:20)用于扫描SMB host的最大网络大小
  -A, --dont-enumerate-acls          (默认值:false)跳过文件acl的枚举
  --help                             显示这个帮助屏幕。
  --version                          显示版本信息。

构建原理

SMBeagle 做了很多工作,这些工作被分解成松散耦合的模块,这些模块相互传递。这使设计保持简单,并允许我们轻松扩展每个模块。

SMBeagle SMB文件共享审计工具搜索并检测读写权限

注意事项

我们目前只在 Windows 上运行,即使我们使用的是跨平台的 dotnetcore。Linux 上的 SMB 支持相对较弱,我们在 SMB 端利用了许多 Win32 API。不过,我们确实有一个未解决的问题,所以如果您想看到它,请提供您的支持。

项目地址

GitHub
https://github.com/punk-security/SMBeagle

下载地址:

①GitHub:

smbeagle_1.1.1_win_x64.zip

②云中转网盘:

https://yzzpan.com/#sharefile=u3og28M2_31491
解压密码:www.ddosi.org

工具截图

SMBeagle SMB文件共享审计工具搜索并检测读写权限
SMBeagle SMB文件共享审计工具搜索并检测读写权限

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。