13、深入探索SMB与NTLM：从原理到实现

深入探索SMB与NTLM：从原理到实现

1. 网络协议与SMB简介

在网络通信中，存在着多种常见协议，如原始TCP、HTTP和DNS等，这些协议对于攻击者而言都有其独特的应用场景。而Server Message Block（SMB）协议，在Windows后渗透阶段具有极高的实用性。

SMB是一种应用层协议，与HTTP类似，允许网络节点之间进行通信。不过，与使用ASCII可读文本进行通信的HTTP 1.1不同，SMB是一种二进制协议，采用固定长度和可变长度、位置和小端字节序字段的组合。SMB有多个版本，也称为方言，包括2.0、2.1、3.0、3.0.2和3.1.1，每个后续版本都比前一个版本性能更优。

不同Windows版本在协商过程中会选择不同的SMB方言，具体如下表所示：
| 操作系统 | Windows 8.1 | WS 2012 R2 | Windows 8 | WS 2012 | Windows 7 | WS 2008 R2 | Windows Vista | WS 2008 | 早期版本 |
| — | — | — | — | — | — | — | — | — | — |
| Windows 8.1 | SMB 3.02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 | - | - | - | - |
| WS 2012 R2 | SMB 3.0 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 | - | - | - | - |
| Windows 8 | SMB 3.0 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |