關(guān)于SMBeagle

SMBeagle是一款針對(duì)SMB文件共享安全的審計(jì)工具，該工具可以幫助廣大研究人員迅速查看網(wǎng)絡(luò)中所有的可視文件，并判斷目標(biāo)文件是否可讀或可寫(xiě)入。該工具所有的掃描發(fā)現(xiàn)數(shù)據(jù)都將存儲(chǔ)至一個(gè)CSV文件中，或直接推送至Elasticsearch主機(jī)。

注意：SMBeagle會(huì)嘗試?yán)肳in32 API來(lái)實(shí)現(xiàn)運(yùn)行速度的最優(yōu)化。

主要使用場(chǎng)景

研究重點(diǎn)在弱共享權(quán)限上：

• 各種規(guī)模的企業(yè)通常都有文件共享，但文件權(quán)限安全性很差。
• 大型企業(yè)在文件服務(wù)器上的共享空間越來(lái)越大，發(fā)現(xiàn)權(quán)限配置錯(cuò)誤的敏感數(shù)據(jù)并不少見(jiàn)。
• 小型企業(yè)通常在辦公室的角落里有一個(gè)小型NAS，且沒(méi)有任何權(quán)限限制!
• SMBeagle將幫助研究人員獲取這些共享并列出它可以讀取和寫(xiě)入的所有文件。當(dāng)然了，如果SMBeagle能讀/寫(xiě)，那么勒索軟件也可以讀/寫(xiě)。

橫向滲透和權(quán)限提升：

• SMBeagle可以為滲透測(cè)試人員提供比較隱蔽的權(quán)限提升和橫線滲透路徑。
• 通過(guò)直接將數(shù)據(jù)輸出至Elasticsearch主機(jī)，測(cè)試人員可以快速找到可讀腳本和可寫(xiě)可執(zhí)行的文件。
• 在SMBeagle的幫助下，尋找水坑攻擊和未受保護(hù)的密碼從未如此容易。

工具架構(gòu)

該工具基于模塊化構(gòu)建，并使用了松散的耦合結(jié)構(gòu)進(jìn)行模塊之間的相互切換：

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/punk-security/SMBeagle 

工具使用

該工具執(zhí)行唯一必需的參數(shù)就是設(shè)置輸出格式，也就是需要指定數(shù)據(jù)輸出至一個(gè)CSV文件中，或是設(shè)置Elasticsearch主機(jī)的IP地址。

建議廣大研究人員啟動(dòng)快速模式，并將數(shù)據(jù)輸出至CSV文件中，但這個(gè)CSV文件可能會(huì)非常大：

SMBeagle -c out.csv -f 

工具完整使用

USAGE: 
 
Output to a CSV file: 
 
  SMBeagle -c out.csv 
 
Output to elasticsearch (Preffered): 
 
  SMBeagle -e 127.0.0.1 
 
Disable network discovery and provide manual networks: 
 
  SMBeagle -D -e 127.0.0.1 -n 192.168.12.0/23 192.168.15.0/24 
 
Scan local filesystem too (SLOW): 
 
  SMBeagle -e 127.0.0.1 -l 
 
Do not enumerate ACLs (FASTER): 
 
  SMBeagle -A -e 127.0.0.1 
 
  
 
  -c, --csv-file                     提供CSV文件路徑，將輸出結(jié)果保存至CSV 
 
  -e, --elasticsearch-host         提供Elasticsearch主機(jī)名，將輸出結(jié)果保存至Elasticsearch 
 
  -f, --fast                         每個(gè)目錄枚舉一個(gè)文件權(quán)限 
 
  -l, --scan-local-drives             掃描設(shè)備的本地驅(qū)動(dòng)器 
 
  -L, --exclude-local-shares         不掃描設(shè)備的本地驅(qū)動(dòng)器machine 
 
  -D, --disable-network-discovery    禁用網(wǎng)絡(luò)發(fā)現(xiàn) 
 
  -n, --network                   手動(dòng)添加網(wǎng)絡(luò)掃描 
 
  -N, --exclude-network             掃描中排除某個(gè)網(wǎng)絡(luò) 
 
  -h, --host                        手動(dòng)添加主機(jī)掃描 
 
  -H, --exclude-host                 掃描中排除某個(gè)主機(jī) 
 
  -q, --quiet                       禁用不必要的輸出 
 
  -v, --verbose                     提供詳細(xì)輸出 
 
  -m, --max-network-cidr-size        (默認(rèn): 20) 掃描目標(biāo)SMB主機(jī)網(wǎng)絡(luò)大小的最大值 
 
                                      
 
  -A, --dont-enumerate-acls          (默認(rèn): false) 跳過(guò)枚舉文件ACL 
 
  --help                           顯示幫助信息 
 
  --version                         顯示版本信息 

項(xiàng)目地址

SMBeagle：【GitHub傳送門(mén)】

參考資料：https://github.com/punk-security/SMBeagle/blob/main/kibana/README.md