Conoscere l’ enumerazione SMB sulla porta TCP 139 e TCP 445

Legion
Se avete già avuto modo di accedere a un file o di utilizzare una stampante connessa a un sistema Windows in rete, probabilmente avrete utilizzato il protocollo SMB (Server Message Block) di Microsoft, che costituisce la base della condivisione file e stampanti di Windows: un implementazione di SMB, Samba, esiste anche per Linux.
Si accede a SMB tramite alcune API, che possono restituire informazioni interessanti su Windows anche a utenti non autenticati.
Se il comando(NON trattato qua) va a buon fine, l’ intruso riesce ad aprire un canale su cui tentare varie tecniche.
Anche se non avete mai sentito parlare della vulnerabilità Red Button, delle connessioni a sessione nulla o del logon anonimo, questo può essere il meccanismo di intrusione in rete dagli effetti più devastanti.
L’ enumerazione SMB può avvenire sia sulla porta TCP 139 (session NetBIOS) sia sulla porta TCP 445 (SMB su TCP/IP o Direct Host): entrambe forniscono l’ accesso allo stesso servizio (SMB), seppur in modi diversi.
Tra i bersagli preferiti dagli intrusi ci sono le condivisione file di Windows con ACL (Access Control List) non configurate correttamente.
Uno degli strumenti, per rivelare eventuali condivisioni a rischio, più apprezzati è Legion, facilmente recuperabile su Internet.
Con Legion potete passare al setaccio una rete IP di classe C e visualizzare graficamente tutte le condivisioni disponibili.
Un altro scanner di condivisioni per Windows è NAT NetBIOS Auditing Tool.
NAT non si limita a trovare le condivisioni, ma tenta un accesso forzato sulla base di elenchi di nomi e password definiti dall’ utente.
Altro scanner è il Network Scanner un gratuito scanner IP, NetBIOS e l’analizzatore di SNMP con un interfaccia moderna e molte caratteristiche interessanti.

Fonti:
http://books.mcgraw-hill.com/sites/osborne/he5/tools.html
http://www.irongeek.com/i.php?page=security/roguefileshares

network scanner

Legion v2.1