Skip to content

4) "BIND Over ..."扩展

怀疑另外两个SMB命令NT Trans(0xa0)、Trans2(0x32)也可以承载Bind(11),虽然我 在现实环境中尚未抓包观察到,最近也没时间写程序测试,记录于此,仅作备忘。

对此有两份文档([3]、[4])可供参考:

<>

3.2 NT Transact SMB

4.5.1 NT Transact

<>

2.9.4 Transaction SMBs

这三种Transaction命令的差别相当小。如果我写恶意程序,一定会尝试另两种Trans 命令,尽可能地规避IDS嘛。

☆ 参考资源

[ 3] NT LAN Manager SMB File Sharing Protocol Extensions - Microsoft Corporation [1992-08-24] http://us4.samba.org/samba/ftp/specs/smb-nt01.doc

[ 4] Implementing CIFS http://www.phptr.com/content/images/013047116X/downloads/013047116X_pdf.zip