حمله از طریق پروتکل SMB

همانطوری که قول دادیم سری پیشرفته تر حمله را بعد از بررسی مقدماتی نت بایوس و راه نفوذ به آن ، پیش رو خواهیم داشت که امیدواریم این نکات آموزشی و آکادمیک گره گشای راهبران محترم در شبکه های بزرگ شود.

کد خبر: ۲۳۶۸۹

در سری قبل آموختیم که در ویندوز می توان از 2سرویس اشتراک گذاشته شده در شبکه یعنی File Sharing و Print Sharing با روش اکسپلویت کردن وارد سیستم قربانی شد (قربانی ماشینی است که تحت نفوذ قرار می گیرد). در بسیاری از متون هکری در این مبحث اشارات مستقیمی به پورت 139که خط ارتباطی سرویس های اشتراکی است ، می شود و روی آن مانور زیاد می شود. نکته بسیار مهم این است که هرچند پورت 139برای نت بایوس و ارتباطات آن تعریف شده و به آن می توان نفوذ و حملات زیادی کرد. اما پشت پرده ماجرا پورت 139و نفوذ اصلی از طریق نت بایوس با این روش نیست ، بلکه خود این پورت برای اشتراک گذاری وابسته به یک پروتکل بسیار مهمی است به نام Serv er message block (نام اختصاری آن SMB) که سرنخ داستان از آنجا آب می خورد. SMBپروتکلی است بسیار جامع برای ارتباطات فایلهای Share شده ، پرینترها ، سریال پورتها و به عنوان پاشنه آشیل در ارتباطات namepipe و Mailslot با پورت 445 در شبکه ایفای نقش می کند.
Namepipe : یک قسمت از حافظه که هنگام پردازش و نقل و انتقال دیتا توسط سیستم داخلی یا راه دور مورد استفاده قرار می گیرد). اگر این اتفاق بیفتد ، SMB در واقع پروتکل درخواست - جواب بین یک Client و Seruer محسوب می شود. این سرویس به راحتی روی ویندوز 2000 ، ان تی یا ایکس پی با یک اسکن ساده از آی پی روی شبکه محلی یا داخلی قابل شناسایی است و وقتی این کار انجام شد، مشاهده می گردد که پورت 445باز بوده و عمل Listening به اصطلاح OK شده است . در بسیاری سیستم های ویندوز آن هم از قبل تعریف شده SMB هست و از طریق آن می توان اکسپلویت کرد و به سیستم نفوذ کرد. بنابراین رئوس کاری ما این است که SMB را بشناسیم و پورتها و حفره های آن را کشف کنیم و بعد اکسپلویت کرده و در نهایت سیستم باز قربانی را آماج حملات خود قرار دهیم .