关于SMBeagleSMBeagle是一款SMB文件共享安全审计工具。该工具可以帮助研究人员快速查看网络中所有可见文件,并判断目标文件是否可读或可写。该工具的所有扫描结果都存储在CSV文件中或直接推送到Elasticsearch主机。注意:SMBeagle会尝试使用Win32API来优化运行速度。主要使用场景研究集中在弱共享权限:各种规模的企业通常都有文件共享,但文件权限的安全性较差。大型企业在文件服务器上共享越来越多的空间,发现权限配置错误的敏感数据并不少见。小型企业通常在办公室的角落里有一台小型NAS,没有任何权限限制!SMBeagle将帮助研究人员获取这些共享并列出它可以读取和写入的所有文件。当然,如果SMBeagle可以读/写,那么勒索软件也可以。横向渗透和提权:SMBeagle可以为渗透测试人员提供相对隐蔽的提权和横向渗透路径。通过直接向Elasticsearch主机输出数据,测试人员可以快速找到可读的脚本和可写的可执行文件。在SMBeagle的帮助下,查找水坑攻击和未受保护的密码从未如此简单。工具架构工具基于模块化构建,采用松耦合结构在模块间切换:punk-security/SMBeagle工具使用该工具唯一需要的参数是设置输出格式,即指定数据输出为CSV文件,或者设置Elasticsearch主机的IP地址。建议研究人员开启快速模式,将数据输出到CSV文件,但是这个CSV文件可能会非常大:SMBeagle-cout.csv-f工具完整使用USAGE:OutputtoaCSVfile:SMBeagle-cout.csvOutputtoelasticsearch(Prefered):SMBeagle-e127.0.0.1Disablenetworkdiscoveryandprovidemanualnetworks:SMBeagle-D-e127.0.0.1-n192.168.12.0/23192.168.15.0/24Scanlocalfilesystemtoo(SLOW):SMBeagle-e127.0.0.1-lDonotenumerateACLs(更快-A-eBeagle2)0.0.1-c,--csv-file提供CSV文件路径,保存输出到CSV-e,--elasticsearch-host提供Elasticsearch主机名,保存输出到Elasticsearch-f,--fast枚举每个目录a文件权限-l,--scan-local-drives扫描设备的本地驱动器-L,--exclude-local-shares排除设备machine的本地驱动器-D,--disable-network-discovery禁用网络发现-n,--network手动添加网络扫描-N,--exclude-network从扫描中排除网络-h,--host手动添加主机扫描-H,--exclude-host从扫描中排除主机-q,--quiet禁用不必要的输出-v,--verbose提供详细输出-m,--max-network-cidr-size(default:20)扫描目标SMB主机最大网络大小-A,--dont-enumerate-acls(default:false)跳过枚举文件ACL--help显示帮助信息--version显示版本信息项目地址SMBeagle:[GitHub传送门]参考:https://github.com/punk-security/SMBeagle/blob/main/kibana/README.md
