ハッカーはenum4linuxでSambaを介して共有情報を取得する(Kali Linuxツール説明)

ホワイトハッカーの知識enum4linux,Kali Linuxツール,座学

Sambaを介して情報を取得する方法を理解するためにまとめてみました。
このenum4linuxの動作確認は自分のドメインでテストを行っています。

enum4linuxとは

enum4linuxツールは、Sambaを介して情報を抽出できるツールです。
取得できる情報は、グループメンバーシップ情報、共有情報、ワークグループまたはドメインメンバーシップ、リモートオペレーティングシステムの識別、パスワードポリシーの取得ができます。

機能

  • RIDサイクリング(Windows2000でRestrictAnonymousが1に設定されている場合)
  • ユーザーのリスト化 (Windows2000でRestrictAnonymousが0に設定されている場合)
  • グループ・メンバーシップ情報の列挙
  • 共有の列挙
  • ホストがワークグループやドメインに属しているかどうかの検出
  • リモート・オペレーティング・システムの識別
  • パスワードポリシーの検索(polenumを使用)

ツールの場所

[Applications]→[01-Information Gathering]→[SMB Analysis]→[enum4linux]

ツールと使用方法

enum4linux [options] ip

例 enum4linux -u -o 192.168.1.7

【実行イメージ】少し端折って整形しています。

┌──(root__kali)-[/home/kali]
└─# enum4linux -u -o 192.168.1.7
Starting enum4linux v0.8.9 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Tue Mar 30 20:28:16 2021

==========================
| Target Information |
==========================
Target ........... 192.168.1.7
RID Range ........ 500-550,1000-1050
Username ......... '-o'
Password ......... ''
Known Usernames .. administrator, guest, krbtgt, domain admins, root, bin, none
===================================================
| Enumerating Workgroup/Domain on 192.168.1.7 |
===================================================
[+] Got domain/workgroup name: WORKGROUP
====================================
| Session Check on 192.168.1.7 |
====================================
[+] Server 192.168.1.7 allows sessions using username '-o', password ''
==========================================
| Getting domain SID for 192.168.1.7 |
==========================================
Bad SMB2 signature for message
[0000] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........
[0000] BA 69 1B D3 DE F2 52 5D 30 29 E0 00 08 5E AB 9D .i....R] 0)...^..
Cannot connect to server. Error was NT_STATUS_ACCESS_DENIED
[+] Can't determine if host is part of domain or part of a workgroup
enum4linux complete on Tue Mar 30 20:28:16 2021

[word_balloon id="1″ size="M" position="L" name_position="under_avatar" radius="true" balloon="talk" balloon_shadow="true"]テスト環境のため、データは見つからなか様子です。(^^;[/word_balloon]

オプション(Options are (like “enum"))

-U

get userlist.
ユーザーリストの取得

-M

get machine list*.
マシンリストの取得。

-S

get sharelist.
シェアリストの取得。

-P

get password policy information.
パスワードポリシー情報を取得する。

-G

get group and member list.
グループとメンバーリストの取得。

-d

be detailed, applies to -U and -S.
詳細は、-Uと-Sに適用されます。

-u user

specify username to use. (default “")
使用するユーザー名を指定する。(デフォルトは"")

-p pass

specify password to use. (default “")
使用するパスワードを指定する。(デフォルトは「"」です)

※enum.exeの次のオプションは実装されていません:-L、-N、-D、-f

追加オプション

-a

Do all simple enumeration. (-U -S -G -P -r -o -n -i).
This opion is enabled if you don’t provide any other options.
すべての単純な列挙(-U -S -G -P -r -o -n -i)を行います。
このオプションは、他のオプションを指定していない場合に有効になります。

-h

Display this help message and exit.
このヘルプメッセージを表示して終了します。

-r

enumerate users via RID cycling.
RID サイクリングでユーザーを列挙します。

-R range

RID ranges to enumerate. (default: 500-550,1000-1050, implies -r)
列挙するRIDの範囲を設定します。(デフォルト:500-550、1000-1050、implies -r)

-K n

Keep searching RIDs until n consective RIDs don’t correspond to a username. Impies RID range ends at 999999. Useful against DCs.
n個の連続したRIDがユーザー名に対応しないまで、RIDを検索し続けます。 Impies RIDの範囲は999999で終わります。DCに対して有効です。

-l

Get some (limited) info via LDAP 389/TCP. (for DCs only)
LDAP 389/TCPで情報を限定的に取得します。(DCのみ対象)

-s file

brute force guessing for share names.
ブルートフォース(総当り)による共有名の推測します。

-k user

User(s) that exists on remote system (default: administrator,guest,krbtgt,domain admins,root,bin,none)
Used to get sid with “lookupsid known_username".
Use commas to try several users: “-k admin,user1,user2".
リモートシステムに存在するユーザー。(複数可) (デフォルト: administrator,guest,krbtgt,domain admins,root,bin,none)
lookupsid known_username “でサイドを取得するために使用されます。
複数のユーザーを試すにはカンマを使います。"-k admin,user1,user2″

-o

Get OS information.
OSの情報を取得します。

-i

Get printer information.
プリンターの情報を取得します。

-w wrkg

Specify workgroup manually. (usually found automatically)
ワークグループを手動で指定します。(通常は自動的に見つかります)

-n

Do an nmblookup. (similar to nbtstat)
nmblookupを行います。(nbtstatに類似)。

-v

Verbose. Shows full commands being run (net, rpcclient, etc.)
Verbose. 実行中のコマンド(net、rpcclientなど)をすべて表示します。

RID cycling should extract a list of users from Windows (or Samba) hosts which have RestrictAnonymous set to 1 (Windows NT and 2000), or “Network access: Allow anonymous SID/Name translation" enabled (XP, 2003).
NB: Samba servers often seem to have RIDs in the range 3000-3050.
RIDサイクリングは、RestrictAnonymousが1に設定されている(Windows NTと2000)か、"Network access, Allow anonymous SID/Name translation" が有効になっている(XPと2003)Windows(またはSamba)ホストから、ユーザーのリストを抽出する。Allow anonymous SID/Name translation “が有効になっている(XP, 2003)。

※注意: Sambaサーバーはしばしば3000-3050の範囲のRIDを持っているようである。

enum4linuxツールのまとめ

enum4linuxツールはSambaの情報を取得するツールなのですね。
ブラックハットハッカーがWindowsのパソコンやSambaホストをハッキングするときにターゲットホストに存在するユーザー名などを取得するのでしょうか。