SMB攻击地一些资料

《SMB攻击地一些资料》由会员分享，可在线阅读，更多相关《SMB攻击地一些资料（21页珍藏版）》请在装配图网上搜索。

1、wordSMB攻击的一些资料- 目录1 - 介绍2 - 什么是SMB/CIFS ？3 - 会话的建立客户端如何与服务器建立一个SMB会话 ？4 - SMB的安全等级5 - 密码6 - 几种SMB数据报的描述6.1 - SMB数据报的常规特征6.2 - NETBIOS与SMB6.3 - SMB的根底报文头部6.4 - 重要SMB命令的描述6.5 - 我们如何才能将本应该加密的SMB密码清楚的复原 ？6.6 - Man in the middle 攻击6.7 - 注意Windows 2k/XP里基于TCP的SMB操作7 - 事物处理子协议与RAP命令7.1 - 事物处理子协议7.2 - RAP命令

2、8 - 使用RAP命令列出服务器上所有可得的共享列表8.1 - Tconx数据报8.2 - RAP命令“NetshareEnum的解释9 - 结论10 - 参考11 - 感- 1 - 介绍本文，我将向大家解释什么是CIFS和SMB，它们如何工作和这些协议里一些共同的不安全隐患。本文将会成为学习微软网络知识的一个有用资源。SMB协议是一个在LAN中非常通用的协议了。我为大家提供了一个关于如何操作SMB例子的源代码。你将会学习到在所有SMB密码都是加密的情况下，如何使用ARP毒药来获得清晰的SMB密码(不需要粗鲁与暴力)。你将会理解SMB与NETBIOS之间的关系。你同样会学到什么是微软远程管理协

3、议(RAP)，以与如何使用它来扫描远程SMB服务器上的共享资源。本文提供的程序和资料都只有一个教育性的目的。你将用它来做的任何事情与我无关。- 2 - 什么是SMB/CIFS ？依照微软的意思，CIFS是为客户系统在网络上向服务器请求文件和打印服务的开放跨平台的运行机制。它是建立在广泛应用于个人电脑和工作站等操作系统的标准服务器消息块(SMB)协议。实际上，SMB是一个通过网络在共享文件，设备，命名管道和邮槽之间操作数据的协议。CIFS是SMB的一个公共版本。SMB客户端的可用系统：for Microsoft : Windows 95, Windows for workgroups 3.x,

4、Windows NT,2000 and XPfor Linux :Smblient from Samba， Smbfs for LinuxSMB服务器：SambaMicrosoft Windows for Workgroups 3.xMicrosoft Windows 95Microsoft Windows NT The PATHWORKS family of servers from DigitalLAN Manager for OS/2,SCO,etcVisionFS from SCOTotalNET Advanced Server from SyntaxAdvanced Serverfo

5、r UNIX from AT&T (NCR?)LAN Server for OS/2 from IBM.- 3 会话的建立注意：SMB协议已经被开展成为可以运行于DOS操作系统，因此字节顺序将会和网络顺序相反。SMB可以运行在TCP/IP，NetBEUI，DEet和IPX/SPX协议之上。如果SMB执行于TCP/IP，DEet或如此是NetBEUI之上，那么NETBIOS名字必须被使用。我将会在第六章向大家介绍什么是NETBIOS。但是现在，你必须知道NETBIOS名字用来在网络上鉴别一台计算机。SMB技术的开展开始于八十年代，出现过很多版本的SMB协议。但是最通用的(在Windows 98,

6、Windows NT,Windows 2000 and XP)是NT LM 0.12版本。本文是基于NT LM 0.12版本之上的。你必须知道一个SMB域名是用来鉴别一个SMB服务器上的一组资源的(用户，打印机，文件)。那么一个客户端是如何与一个服务器建立SMB会话的呢？让我们假设一个这样的环境：一个客户端希望访问一台服务器上的特定资源。1 - 开始于客户端向服务器请求一个NETBIOS会话。客户端发送它的已编码的NETBIOS名字到SMB服务器(它们在139端口监听连接请求)。服务器接收到NETBIOS名字后回复一个NETBIOS会话数据报给有效的会话连接。客户端在建立了连接之后才能进入访问

7、。2 - 客户端发送一个SMB negprot请求数据报(negprot是磋商协议“negotiate protocol的简写)。客户端列出了它所支持的所有SMB协议版本。3 - 通过磋商之后，客户端进程向服务器发起一个用户或共享的认证。(下一章中我们将会看到共享认证和用户认证之间的不同)。这个过程是通过发送SesssetupX(SesssetupX是会话建立和X“Session setup and X的简称)请求数据报实现的。客户端发送一对登录名/密码或一个简单密码到服务器，然后服务器通过发送一个SesssetupX应答数据报来允许或拒绝本次连接。4 - 好了，在客户端完成了磋商和认证之后，

8、它会发送一个TconX数据报并列出它想访问的特定网络资源的名称，之后服务器会发送一个TconX应答数据报以表示此次连接是否承受或拒绝。netbios session request (netbios name)client - server1)netbios session grantedclient server2)SMB negprot replyclient server3)SMB sesssetupX replyclient server4)SMB TconX replyclient ASCII value = E0x2 + 0x41 = 0x43 - ASCII value = C最

9、后NETBIOS名字被编码为32字节长。注意：SMB可以直接运行于TCP之上而无须NBT(在Windows 2k和XP上它们使用455端口)。此时，NETBIOS名字没有被限制在15字符以。- 6.3 - SMB的根底报文头部这个头部在所有的SMB数据报中都会使用，以下是它的定义：UCHAR Protocol4; / Contains 0xFF,SMBUCHAR mand; / mand codeunion struct UCHAR ErrorClass; / Error classUCHAR Reserved; / Reserved for future useUSHORT Error; /

10、 Error code DosError;ULONG Status; / 32-bit error code Status;UCHAR Flags; / FlagsUSHORT Flags2; / More flagsunion USHORT Pad6; / Ensure section is 12 bytes longstruct USHORT PidHigh; / High part of PIDULONG Unused; / Not usedULONG Unused2; Extra;USHORT Tid; / Tree identifierUSHORT Pid; / Callers pr

11、ocess idUSHORT Uid; / Unauthenticated user idUSHORT Mid; / multiplex idUCHAR WordCount; / Count of parameter wordsUSHORT ParameterWords WordCount ; / The parameter wordsUSHORT ByteCount; / Count of bytesUCHAR Buffer ByteCount ; / The bytes“Protocol域包含协议(SMB)的名字，前面放了一个0xFF。“mand域包含请求命令的数据。例如0x72就是“磋商

12、协议命令。“Tid域在客户端成功和一台SMB服务器上的资源建立连接后被使用的。TID数字用来鉴别资源。“Pid域在客户端成功在服务器上创建一个进程是使用。PID数字用来鉴别进程。“Uid域在一个用户被成功通过验证后被使用。UID数字用来鉴别用户。“Mid域在客户端拥有几个请求(进程，线程，文件访问)是和PID同时使用。“Flags域也很重要，如果第15位置1，如此使用UNICODE编码。- 6.4 - 重要SMB命令的描述SMB 磋商协议(negprot) 磋商协议在SMB会话建立连接的第一步时使用。在SMB根底报文头部中的“mand域被填充为：0x72。下面是negprot请求与应答数据报的

13、定义：Request headerUCHAR WordCount; /Count of parameter words = 0USHORT ByteCount; /Count of data bytesstruct UCHAR BufferFormat; /0x02 - DialectUCHAR DialectName; /ASCII null-terminated string Dialects;这个数据报包括客户端向服务器发送的它所支持SMB协议的所有版本信息。有三件事要说，在这个报文中：“WordCount域总是被置为零；“ByteCount域等于结构“Dialects的长度；“Buff

14、erFormat域总是等于0x02。“DialectName包含SMB协议支持的几种版本信息。应答数据报头部：UCHAR WordCount; Count of parameter words = 17USHORT DialectIndex; Index of selected dialectUCHAR SecurityMode; Security mode:bit 0: 0 = share, 1 = userbit 1: 1 = encrypt passwordsUSHORT MaxMpxCount; Max pending multiplexed requestsUSHORT MaxNum

15、berVcs; Max VCs between client and serverULONG MaxBufferSize; Max transmit buffer sizeULONG MaxRawSize; Maximum raw buffer sizeULONG SessionKey; Unique token identifying this sessionULONG Capabilities; Server capabilitiesULONG SystemTimeLow; System (UTC) time of the server (low).ULONG SystemTimeHigh

16、; System (UTC) time of the server (high).USHORT ServerTimeZone; Time zone of server (min from UTC)UCHAR EncryptionKeyLength; Length of encryption key.USHORT ByteCount; Count of data bytesUCHAR EncryptionKey; The challenge encryption keyUCHAR OemDomainName; The name of the domain (in OEM chars)这个数据报由

17、服务器发出，它包含SMB协议支持的版本列表，服务器的SMB域名，如果需要还要包含密钥。重要的：第一个感兴趣的域是“SecurityMode位。如果第0位被选中，那么我们就选择了用户安全模式；如果没有，如此拥有共享安全模式。如果第1位被选中，密码就使用DEC加密算法进展编码。“SessionKey域被用来鉴别会话。一个会话有单一的一个会话钥匙。“Capabilities域明确服务器是否支持UNICODE字符串，或NT LM 0.12特别的命令数据被放在报文头部的完毕处。通过一个negprot应答，这些数据与“EncryptionKey和“OemDomainName相对应。“OemDomainNa

18、me域的长度等于Bytecount - EncryptoinKeyLength)。“OemDomainName字符串包含服务器的SMB域名。SesssetupX(Session setup and X) SesssetupX数据报被用来处理用户鉴别，或在你访问资源时提供一个密码。SesssetupX的命令代码是：0x73。请求数据报头部：UCHAR WordCount; Count of parameter words = 13UCHAR AndXmand; Secondary (X) mand; 0xFF = noneUCHAR AndXReserved; Reserved (must be

19、 0)USHORT AndXOffset; Offset to next mand WordCountUSHORT MaxBufferSize; Clients maximum buffer sizeUSHORT MaxMpxCount; Actual maximum multiplexed pending requestsUSHORT Vumber; 0=first (only),nonzero=additional VC numberULONG SessionKey; Session key (valid iff Vumber != 0)USHORT CaseInsensitivePass

20、wordLength; Account password size, ANSIUSHORT CaseSensitivePasswordLength; Account password size, UnicodeULONG Reserved; must be 0ULONG Capabilities; Client capabilitiesUSHORT ByteCount; Count of data bytes; min = 0UCHAR CaseInsensitivePassword; Account Password, ANSIUCHAR CaseSensitivePassword; Acc

21、ount Password, UnicodeSTRING AccountName; Account Name, UnicodeSTRING PrimaryDomain; Clients primary domain, UnicodeSTRING NativeOS; Clients native operating system, UnicodeSTRING NativeLanMan; Clients native LAN Manager type, Unicode这个报文提供很多关于客户端系统的信息。“MaxBufferSize域非常的重要，它提供客户端可以接收数据报的最大长度。如果你将这个域

22、设置为零，那么你不会接收到任何类型的数据。这个数据报，有几个字符串。最总要的是“CaseSensitivePassword(UNICODE编码的密码)域和“CaseInsensitivePassword(ANSI编码的密码)域。这两个域中的一个被使用，它取决于服务器是否支持UNICODE编码(在磋商协议应答报文中描述)。密码的长度保存在“CaseInsesitivePasswordLength或“CaseSensitivePasswordLength里。其他字符串，请参见它后面的描述。数据的长度保存在“Bytecount域中。应答数据报头部：UCHAR WordCount; Count of

23、parameter words = 3UCHAR AndXmand; Secondary (X) mand; 0xFF = noneUCHAR AndXReserved; Reserved (must be 0)USHORT AndXOffset; Offset to next mand WordCountUSHORT Action; Request mode: bit0 = logged in as GUESTUSHORT ByteCount; Count of data bytesSTRING NativeOS; Servers native operating systemSTRING

24、NativeLanMan; Servers native LAN Manager typeSTRING PrimaryDomain; Servers primary domain在这个数据报文里也包含了很多信息：操作系统类型，SMB服务器版本信息和服务器的域名。如果连接失败，那么在 NativeOS, NativeLanmanand PrimaryDomain 里面将没有任何东西。我们已经讲完了“硬件局部，下面我们来看看SMB协议。- 6.5 我们如何才能将本应该加密的SMB密码清楚的复原 ？在会话的建立过程中，密码是在SesssetupX阶段被发送到服务器的。而SMB negprot应答报文

25、包含了一个“SecurityMode域，它判断是否允许使用加密属性。如果你想在所有的密码都被加密后获得一个清晰的密码，你可能会面对两种情况。第一种情况是得到密钥和加密过的口令，然后暴力破解。它会花费你很多的时间一些程序如 LophtCrack (附SMBGrinder)，dsniff or readsmb2 会嗅探到SMB加密过的密码。第二种方法是劫持连接，并使客户端确信密码不用加密后传送。这种技术解释起来有点复杂，不过我会告诉你如何才能实现 ！如果服务器配置成需要加密的密码，那么SMB negprot应答数据报就会选种“SecurityMode的第1位。但是，如果攻击者在服务器之前发送了一个

26、negprot应答数据报，且相应的第一位被置为零就可以了，这样密码就会以明文的形式出现在SesssetupX请求报文。negprot request client - server attacker (攻击者等待一个negprot请求数据报)client - server fake negprot reply attacker (攻击者发送一个虚假的neprot应答数据报)real negprot replyclient server(攻击者嗅探到明文形式的密码)以上的图明确了在网络上进展一次直接数据报注射过程。大多数情况下，这种方法并不会发生，因为虚假的negprot应答数据报会被处理。还有

27、一个问题就是会话特性，有效的密码它不会在交换环境中工作我们可以使用ARP毒药(ARP-Poisoning)来防止上面的所有问题。我不会解释或描述什么是ARP毒药，你可以在互连网上找到很多这方面的文章。但是如果你不知道这是什么，你只须知道这种攻击允许攻击者在客户端和服务器之间进展重定向并修改网络通信。如果你考虑到这种情形，攻击者就在他们之间。这就是man in the middle- 6.6 - Man in the middle 攻击“Attack where your enemy is not expecting you“Sun Tzu, The art of war 现在我就要为大家描述什

28、么是 man in the middle 攻击。这种攻击允许你回避交换机，可以防止连接失败，进而获得密码的明文表达式。现在我们认为客户端和服务器之间的通信被攻击者重定向了(由于ARP毒药)。客户端向服务器请求一个SMB会话，它会向服务器的139端口发送一个数据报。这时攻击者接收到了这个数据报，但是攻击者并没有将这个数据报重新发送到服务器。所有接收到的发送给服务器SMB端口的数据报(现在发送到了攻击者的主机了)被重新定向到攻击者主机的本地端口1139(使用NAT或iptables非常容易实现)。在攻击者的本地端口1139，有一个程序(一个透明的代理程序)进展修改并重定向SMB数据报。iptabl

29、es/NAT的命令如下：将接收到的数据报(139端口)重定向到本地端口(例如1139)。#iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.1.3 -dport 139 -j REDIRECT -to-port 1139192.168.1.3是客户端的IP地址。重定向所有的网络通信：#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE需要做哪些修改呢？攻击者修改negprot应答数据报使密码以明文的形式传送，攻击者同样要修复密钥。他将密钥的长度设置为零，并将域名代替密钥。攻击者将

30、“SecurityMode位设置为零。这样，密码就不会被加密了。此后，客户端将会在SesssetupX请求数据报中把密码以明文的的方式传送。在攻击者获得了密码后，他会在把SesssetupX请求数据报发送给服务器之前用密钥将密码加密。服务器发送一个SesssetupX应答报文以承受或拒绝会话。攻击者重定向SesssetupX应答报文和以后的所有网络通信。会话连接不会失败，而且没有人知道我们的 man in the middle ！描述： ARP-P ARP-Pclient server攻击者使用ARP毒药攻击，进而在两台主机之间重定性所有的网络数据报。 client attacker serv

31、er网络传输的重定向依靠NAT或iptables来实现。port 139client - attacker server攻击者接收到第一个发送给SMB服务器的数据报。client -attacker 139 serverVattacker 1139攻击者将它重定向到1139端口。在1139端口上，我们的代理程序正在监听。negprot requestclient - attacker server攻击者接收到了negprot请求数据报。negprot requestclient attacker - server攻击者重定向negprot请求数据报到服务器。negprot replyclien

32、t attacker - server(加密属性位设置为要求对密码进展加密)服务器发送了一个将加密属性设置为1的negprot应答数据报，要求客户端对密码进展加密传送。攻击者并不会重定向发送这个数据报。他改变了要求加密的那一位，而告诉客户端不用对口令进展加密。negprot replyclient attacker server(密码以明文形式传送)客户端将密码以明文形式传送，这是攻击者得到了服务器的密码了 ！SesssetupX requestclient attacker - server(密码被加密过后传送)攻击者将密码加密后通过SesssetupX请求数据报发送到服务器。sessset

33、upX replyclient - attacker - server 服务器发送SesssetupX应答报文，攻击者只是将它重定向到客户端。client attacker server攻击者继续在服务器与客户端之间重定向数据报，直到SMB会话完毕。- 6.7 - 注意Windows 2k/XP里基于TCP的SMB操作就想我先前说的，在Windows 2k/XP中SMB可以直接运行于TCP之上。SMB服务器在445端口上监听所有的连接。但是这并不是如此的“直接，实际上，我们使用一个4字节长的数据代替了NETBIOS头部。描述：- TCP -SPECIAL HEADER - SMB BASE H

34、DR -特殊头部的定义如下：UCHAR Zero; / Set to zeroUCHAR Length3; / Count of data bytes / the 4 bytes of the header are not included这个特别的头部和NETBIOS头部并没有太大的区别，下面你就会知道为什么了。下面是NETBIOS头部：UCHAR Type; / Type of the packetUCHAR Flags; / FlagsUSHORT Length; / Count of data bytes (netbios header not included)在SMB运行于TCP之

35、上时，NETBIOS请求会话就不再需要了。实际上，客户端和服务器的NETBIOS名字并不需要发送。所以，在NETBIOS里的“Type域总是等于零(如果“Type域不等于零，在客户端发送它的NETBIOS的编码后的名字时这个域被置为0x81，如果是服务器就填入0x82)。记住，在SMB的会话期间，“Type域始终等于零。第一个字节完全一样。最后三个字节：NETBIOS头部的“Flags域始终置为零。只有数据报的长度会占据最后的两个字节。我们可以得出这个结论：在NETBIOS没有使用时，NETBIOS头部和特殊头部没有什么区别。Downgrade 攻击：如果客户端(运行于Windows 2K 或

36、 XP之上)使用了NBT，它在连接时总是同时使用139和445端口。如果客户端在445端口接收到一个应答报文，客户端就会在139端口发送一个RST数据报。如果客户端在445端口没有接收到应答报文，他会试图使用139端口进展连接。如果在两个端口都没有回应，那么这次会话就算失败了。如果客户端没有使用NBT，它仅在445端口上进展连接。为了完成 Downgrade 攻击，强迫客户端不使用445端口而使用139端口，你必须是客户端确信445端口是关闭的。在使用透明代理攻击的情况下是非常容易实现的。在使用iptables的情况下，只须在攻击者的主机上将接收的所有网络数据报从445端口重定向到其他的端口。

37、这样客户端就会使用139端口了。以上假设是基于客户端使用了NBT的。如果客户端没有使用，那么透明代理就会在445端口上进展数据报的流通。好的，我们已经完成了复原密码的攻击了。现在我们要学习SMB的另一个重要局部。- 7 - 事物处理子协议与RAP命令 在这局部我会解释一些SMB的命令：RAP命令。这些命令使用事物处理子协议。我同样会描述这些子协议。- 7.1 事物处理子协议在大量的数据通过SMB会话传送时，或如此有一个特别的操作请求，那么SMB协议就会包含一个事物处理子协议。事物处理子协议主要用在SMB远程过程调用(RPC)：RAP命令(RAP是Remote AdministrationPro

38、tocal)，我将会在稍后解释。事物处理子协议并不是来源与SMB协议。它只是为SMB提供的另外一个命令。所以事物处理子协议是基于SMB根底报文头部的，它的命令代码是0x25。像其他命令一样有发送和请求报文。以下是事物处理请求报文头部：UCHAR WordCount; Count of parameter words; value =(14 + value of the “SetupCount“ field)USHORT TotalParameterCount; Total parameter bytes being sentUSHORT TotalDataCount; Total data b

39、ytes being sentUSHORT MaxParameterCount; Max parameter bytes to returnUSHORT MaxDataCount; Max data bytes to returnUCHAR MaxSetupCount; Max setup words to returnUCHAR Reserved;USHORT Flags; Additional information:bit 0 - also disconnect TID in TIDbit 1 - one-way transaction (no response)ULONG Timeou

40、t;USHORT Reserved2;USHORT ParameterCount; Parameter bytes sent this bufferUSHORT ParameterOffset; Offset (from header start) to ParametersUSHORT DataCount; Data bytes sent this bufferUSHORT DataOffset; Offset (from header start) to dataUCHAR SetupCount; Count of setup wordsUCHAR Reserved3; Reserved

41、(pad above to word)USHORT SetupSetupCount; Setup words (# = SetupWordCount)USHORT ByteCount; Count of data bytesSTRING Name; Name of transaction (NULL if SMB_TRANSACTION2)UCHAR Pad; Pad to SHORT or LONGUCHAR Parameters UCHAR Pad1; Pad to SHORT or LONGUCHAR Data DataCount ; Data bytes (# = DataCount)

42、在大多数情况下，一个RAP命令通过事物处理子协议来发送时都需要几个事物处理数据报来发送参数和数据。参数字节通常首先发送，数据字节紧跟在后。如果几个事物处理数据报必须相关联时，服务器会送下面的这个小的数据报：中间应答报文 :UCHAR WordCount; Count of parameter words = 0USHORT ByteCount; Count of data bytes = 0在事物处理请求报文头部，“TotalParameterCount域描述发送的参数字节的长度，在“TotalDataCount域中也是这样的(发送的数据数目)。从SMB根底报文头部的开始到参数字符的偏移量保存

43、在“ParameterOffset里，而数据字符的偏移量保存在“DataOffset域里。“Parameter域包含参数字符，而“Data域如此包含数据字符。在“DataCount域和“ParameterCount域里分别保存了事物处理数据报里的数据字节和参数字节的长度。注意一下“WordCount域，它包含了下面的值：14 + “SetupCount域的值。但通常情况下，“SetupCount域都等于零。发送的请求数据报和应答数据报之间并没有太多的差异。事物处理应答报文: UCHAR WordCount; Count of data bytes; value = 10 +“Setupcoun

44、t“ field.USHORT TotalParameterCount; Total parameter bytes being sentUSHORT TotalDataCount; Total data bytes being sentUSHORT Reserved;USHORT ParameterCount; Parameter bytes sent this bufferUSHORT ParameterOffset; Offset (from header start) to ParametersUSHORT ParameterDisplacement; Displacement of

45、these Parameter bytesUSHORT DataCount; Data bytes sent this bufferUSHORT DataOffset; Offset (from header start) to dataUSHORT DataDisplacement; Displacement of these data bytesUCHAR SetupCount; Count of setup wordsUCHAR Reserved2; Reserved (pad above to word)USHORT SetupSetupWordCount; Setup words (

46、# = SetupWordCount)USHORT ByteCount; Count of data bytesUCHAR Pad; Pad to SHORT or LONGUCHAR Parameters UCHAR Pad1; Pad to SHORT or LONGUCHAR DataDataCount; Data bytes (# = DataCount)客户端必须使用“ParameterOffset和“DataOffset以了解参数和数据字节的偏移量(从SMB根底报文头部开始)。- 7.2 - RAP命令RAP(Remote Administation Protocal)是SMB的R

47、PC实现。RAP 请求报文 : -TCP HDR -NETBIOS HDR -SMB BASE HDR -SMB TRANSACTION REQUEST HDR-RAP REQUEST PARAMETERS - RAP REQUEST DATAS -RAP 应答报文 :-TCP HDR -NETBIOS HDR -SMB BASE HDR -SMB TRANSACTION REPLY HDR -RAP REPLY PARAMETERS -RAP REPLY DATAS - 在你使用RAP命令时，你总会在事物处理(请求和应答)的“Name域中找到“PIPELANMAN字符串。这有几个RAP命令的

48、例子：- NETSHAREENUM : 获得服务器上所有共享资源的信息；- NETSERVERENUM2 : 列举特定域里所有计算机的特定类型；- NETSERVERGETINFO : 获得指定服务器的信息；- NETSHAREGETINFO : 获得特定共享资源的信息；- NETWKSTAUSERLOGON : 在SMB服务器上进展一次登录；- NETWSTAUSERLOGOFF : 注销；- NETUSERGETINFO : 获得指定用户的信息；- NETWKSTAGETINFO : 获得指定工作站的信息；- SAMOEMCHANGEPASSWORD : 更改远程SMB服务器上一个用户的密

49、码。我不会列举所有的命令，而只是举一个例子。- 8 - 使用RAP命令列出服务器上所有可得的共享列表 这局部是上面的补充。我将会演示一个如何使用RAP命令的例子。我们如何才能获得网络上的每人都可访问的SMB共享资源：其实过程很简单。客户端必须在服务器上通过认证。这些在第三章里都有讲解。在服务器通过验证后，客户端发送一个TconX请求数据报给服务器(在接收到SesssetupX应答数据报之后)。TconX 的意思是 Tree Connect and X。TconX请求数据报用来访问一个共享资源。- 8.1 - TconX数据报TconX数据报是建立在SMB根底报文头部之上的，命令代码为0x75。

50、请求数据报头部：UCHAR WordCount; Count of parameter words = 4UCHAR AndXmand; Secondary (X) mand; 0xFF = noneUCHAR AndXReserved; Reserved (must be 0)USHORT AndXOffset; Offset to next mand WordCountUSHORT Flags; Additional informationUSHORT PasswordLength; Length of PasswordUSHORT ByteCount; Count of data bytes; min = 3UCHAR Password; PasswordSTRING Path; Server name and share nameSTRING Service; Service name密码在会话建立过程中被发送到了服务器。如果密码的长度为1，如此密码就被置为空(0x00)。“Path域包含了你想要访问的共享资源的名字。它使用UNICODE编码。如过我想访问一台“myserver服务器上的“myshare资源，“Path字符串就该置为“myservermyshare。“Service包含了请求