NetBIOS “Network Basic Input/Output System”, es, (en sentido estricto) una especificación de interfaz para acceso a servicios de red, es decir, una capa de software desarrollado para enlazar un sistema operativo de red con hardware específico. Ejemplos de lo anterior son impresoras y archivos, mensajes, etc. Para hacer esto se tiene que dar mucha información que es interesante para un atacante como el nombre de la computadora, el domain, los shares y las impresoras disponibles, etc.
NetBIOS tiene dos versiones una es UDP y la otra es TCP. Es interesante saber que fue desarrollado en 1983 como API.
NetBIOS usando TCP/IP empezó en 1987.
Los puertos que usan son:
• UDP 137 para name services (nombres que pertenecen a cada IP como un DNS record)
• UDP 138 para datagram services (mandar mensajes)
• TCP 139 para session services (
Para escanearlo podemos usar nbtscan
Los números en el servicio significan cosas interesantes, el 20 quiere decir que son servidores, osea que pueden estar compartiendo cosas.
Su domain es LONDON.
Otros sufijos que pueden ser interesantes son:
| Name | NetBIOS suffix | Name type | Usage |
|---|---|---|---|
| <computer> | 0x00 | Unique | Default name registered by a client computer. The Workstation Service, if enabled, registers this default name. |
| <machine group> | 0x00 | Group | Browser clients and servers in <machine group>. |
| [01][02]__MSBROWSE__[02][01] | 0x01 | Group | Master browser. Note that the Name is a full 16 bytes, implicitly defining the NetBIOS suffix as 0x01. |
| <domain> | 0x1B | Unique | Domain master browser |
| <machine group> | 0x1D | Unique | Master browser |
| <machine group> | 0x1E | Group | Browser service elections |
| <computer> | 0x20 | Unique | Default name registered by a server computer. The Server Service, if enabled, registers this default name. |
Normalmente cuando pensamos en el puerto 139 pensamos en SMB. Entonces?
SMB depende de NetBIOS para comunicarse con sistemas que no usan SMB con TCP/IP. Antes del 2000 SMB solo funcionaba en el puerto 139. Despues SMB empezo a usar SMB sobre TCP/IP en el puerto 445.
NetBIOS is independiente de SMB. NetBIOS es la API que usa SMB.
SMB
Server Message Block es un protocolo de red que permite compartir archivos, impresoras, etcétera, entre nodos de una red de computadoras que usan el sistema operativo Microsoft Windows.
Para escanearlo normalmente uso SMBenum o enum4linux (automaticos) o Smbclient cuando quiero interactuar. Los discos que terminan con $ son los defaults bloqueados. por ejemplo.
Para interactuar puedes usar:
smbclient -U al //10.XX.X.XX/wwwroot
Una vulnerabilidad muy común es NULL sessions. Un atacante puede hacer una connexion sin dar username o password. Es normalmente para sistemas viejos como 2000 o NT.
Para encontrarlos dos buenas herramientas son enum4linux y smbenum
