Created
August 19, 2015 05:43
-
-
Save orgads/4f0ea2b26cfd64f4353d to your computer and use it in GitHub Desktop.
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| No. Time Source Destination Protocol Length Info | |
| 1 0.000000 10.33.5.130 10.1.0.14 SMB 146 NT Create AndX Request, Path: \ | |
| Frame 1: 146 bytes on wire (1168 bits), 146 bytes captured (1168 bits) | |
| Ethernet II, Src: Universa_47:01:18 (fc:4d:d4:47:01:18), Dst: CheckPoi_3f:a9:5c (00:1c:7f:3f:a9:5c) | |
| Internet Protocol Version 4, Src: 10.33.5.130 (10.33.5.130), Dst: 10.1.0.14 (10.1.0.14) | |
| Transmission Control Protocol, Src Port: 64227 (64227), Dst Port: microsoft-ds (445), Seq: 1, Ack: 1, Len: 92 | |
| NetBIOS Session Service | |
| SMB (Server Message Block Protocol) | |
| SMB Header | |
| Server Component: SMB | |
| [Response in: 2] | |
| SMB Command: NT Create AndX (0xa2) | |
| NT Status: STATUS_SUCCESS (0x00000000) | |
| Flags: 0x18 | |
| 0... .... = Request/Response: Message is a request to the server | |
| .0.. .... = Notify: Notify client only on open | |
| ..0. .... = Oplocks: OpLock not requested/granted | |
| ...1 .... = Canonicalized Pathnames: Pathnames are canonicalized | |
| .... 1... = Case Sensitivity: Path names are caseless | |
| .... ..0. = Receive Buffer Posted: Receive buffer has not been posted | |
| .... ...0 = Lock and Read: Lock&Read, Write&Unlock are not supported | |
| Flags2: 0xc807 | |
| 1... .... .... .... = Unicode Strings: Strings are Unicode | |
| .1.. .... .... .... = Error Code Type: Error codes are NT error codes | |
| ..0. .... .... .... = Execute-only Reads: Don't permit reads if execute-only | |
| ...0 .... .... .... = Dfs: Don't resolve pathnames with Dfs | |
| .... 1... .... .... = Extended Security Negotiation: Extended security negotiation is supported | |
| .... .0.. .... .... = Reparse Path: The request does not use a @GMT reparse path | |
| .... .... .0.. .... = Long Names Used: Path names in request are not long file names | |
| .... .... ...0 .... = Security Signatures Required: Security signatures are not required | |
| .... .... .... 0... = Compressed: Compression is not requested | |
| .... .... .... .1.. = Security Signatures: Security signatures are supported | |
| .... .... .... ..1. = Extended Attributes: Extended attributes are supported | |
| .... .... .... ...1 = Long Names Allowed: Long file names are allowed in the response | |
| Process ID High: 0 | |
| Signature: 0000000000000000 | |
| Reserved: 0000 | |
| Tree ID: 1 | |
| Process ID: 6260 | |
| User ID: 1 | |
| Multiplex ID: 192 | |
| NT Create AndX Request (0xa2) | |
| Word Count (WCT): 24 | |
| AndXCommand: No further commands (0xff) | |
| Reserved: 00 | |
| AndXOffset: 57054 | |
| Reserved: 00 | |
| File Name Len: 2 | |
| Create Flags: 0x00000010 | |
| .... .... .... .... .... .... ...1 .... = Extended Response: Extended responses required | |
| .... .... .... .... .... .... .... 0... = Create Directory: Target of open can be a file | |
| .... .... .... .... .... .... .... .0.. = Batch Oplock: Does NOT request batch oplock | |
| .... .... .... .... .... .... .... ..0. = Exclusive Oplock: Does NOT request oplock | |
| Root FID: 0x00000000 | |
| Access Mask: 0x00100001 | |
| 0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set | |
| .0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set | |
| ..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set | |
| ...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set | |
| .... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set | |
| .... ...0 .... .... .... .... .... .... = System Security: System security is NOT set | |
| .... .... ...1 .... .... .... .... .... = Synchronize: Can wait on handle to SYNCHRONIZE on completion of I/O | |
| .... .... .... 0... .... .... .... .... = Write Owner: Can NOT write owner (take ownership) | |
| .... .... .... .0.. .... .... .... .... = Write DAC: Owner may NOT write to the DAC | |
| .... .... .... ..0. .... .... .... .... = Read Control: Read access is NOT granted to owner, group and ACL of the SID | |
| .... .... .... ...0 .... .... .... .... = Delete: NO delete access | |
| .... .... .... .... .... ...0 .... .... = Write Attributes: NO write attributes access | |
| .... .... .... .... .... .... 0... .... = Read Attributes: NO read attributes access | |
| .... .... .... .... .... .... .0.. .... = Delete Child: NO delete child access | |
| .... .... .... .... .... .... ..0. .... = Execute: NO execute access | |
| .... .... .... .... .... .... ...0 .... = Write EA: NO write extended attributes access | |
| .... .... .... .... .... .... .... 0... = Read EA: NO read extended attributes access | |
| .... .... .... .... .... .... .... .0.. = Append: NO append access | |
| .... .... .... .... .... .... .... ..0. = Write: NO write access | |
| .... .... .... .... .... .... .... ...1 = Read: READ access | |
| Allocation Size: 0 | |
| File Attributes: 0x00000000 | |
| .... .... .... .... .0.. .... .... .... = Encrypted: This is NOT an encrypted file | |
| .... .... .... .... ..0. .... .... .... = Content Indexed: This file MAY be indexed by the content indexing service | |
| .... .... .... .... ...0 .... .... .... = Offline: This file is NOT offline | |
| .... .... .... .... .... 0... .... .... = Compressed: This is NOT a compressed file | |
| .... .... .... .... .... .0.. .... .... = Reparse Point: This file does NOT have an associated reparse point | |
| .... .... .... .... .... ..0. .... .... = Sparse: This is NOT a sparse file | |
| .... .... .... .... .... ...0 .... .... = Temporary: This is NOT a temporary file | |
| .... .... .... .... .... .... 0... .... = Normal: This file has some attribute set | |
| .... .... .... .... .... .... .0.. .... = Device: This is NOT a device | |
| .... .... .... .... .... .... ..0. .... = Archive: This file has NOT been modified since last archive | |
| .... .... .... .... .... .... ...0 .... = Directory: This is NOT a directory | |
| .... .... .... .... .... .... .... 0... = Volume ID: This is NOT a volume ID | |
| .... .... .... .... .... .... .... .0.. = System: This is NOT a system file | |
| .... .... .... .... .... .... .... ..0. = Hidden: This is NOT a hidden file | |
| .... .... .... .... .... .... .... ...0 = Read Only: This file is NOT read only | |
| Share Access: 0x00000007 SHARE_DELETE SHARE_WRITE SHARE_READ | |
| .... .... .... .... .... .... .... .1.. = Delete: Object can be shared for DELETE | |
| .... .... .... .... .... .... .... ..1. = Write: Object can be shared for WRITE | |
| .... .... .... .... .... .... .... ...1 = Read: Object can be shared for READ | |
| Disposition: Open (if file exists open it, else fail) (1) | |
| Create Options: 0x00004001 | |
| .... .... .... .... .... .... .... ...1 = Directory: File being created/opened must be a directory | |
| .... .... .... .... .... .... .... ..0. = Write Through: Writes need not flush buffered data before completing | |
| .... .... .... .... .... .... .... .0.. = Sequential Only: The file might not only be accessed sequentially | |
| .... .... .... .... .... .... .... 0... = Intermediate Buffering: Intermediate buffering is allowed | |
| .... .... .... .... .... .... ...0 .... = Sync I/O Alert: Operations NOT necessarily synchronous | |
| .... .... .... .... .... .... ..0. .... = Sync I/O Nonalert: Operations NOT necessarily synchronous | |
| .... .... .... .... .... .... .0.. .... = Non-Directory: File being created/opened must be a directory | |
| .... .... .... .... .... .... 0... .... = Create Tree Connection: Create Tree Connections is NOT set | |
| .... .... .... .... .... ...0 .... .... = Complete If Oplocked: Complete if oplocked is NOT set | |
| .... .... .... .... .... ..0. .... .... = No EA Knowledge: The client understands extended attributes | |
| .... .... .... .... .... .0.. .... .... = 8.3 Only: The client understands long file names | |
| .... .... .... .... .... 0... .... .... = Random Access: The file will not be accessed randomly | |
| .... .... .... .... ...0 .... .... .... = Delete On Close: The file should not be deleted when it is closed | |
| .... .... .... .... ..0. .... .... .... = Open By FileID: OpenByFileID is NOT set | |
| .... .... .... .... .1.. .... .... .... = Backup Intent: This is a create with BACKUP INTENT | |
| .... .... .... .... 0... .... .... .... = No Compression: Compression is allowed for Open/Create | |
| .... .... ...0 .... .... .... .... .... = Reserve Opfilter: Reserve Opfilter is NOT set | |
| .... .... ..0. .... .... .... .... .... = Open Reparse Point: Normal open | |
| .... .... .0.. .... .... .... .... .... = Open No Recall: Open no recall is NOT set | |
| .... .... 0... .... .... .... .... .... = Open For Free Space query: This is NOT an open for free space query | |
| Impersonation: Impersonation (2) | |
| Security Flags: 0x00 | |
| .... ...0 = Context Tracking: Security tracking mode is STATIC | |
| .... ..0. = Effective Only: ALL aspects of the client's security context are available | |
| Byte Count (BCC): 5 | |
| File Name: \ | |
| No. Time Source Destination Protocol Length Info | |
| 2 0.001057 10.1.0.14 10.33.5.130 SMB 93 NT Create AndX Response, FID: 0x0000, Error: STATUS_ACCESS_DENIED | |
| Frame 2: 93 bytes on wire (744 bits), 93 bytes captured (744 bits) | |
| Ethernet II, Src: CheckPoi_3f:a9:5c (00:1c:7f:3f:a9:5c), Dst: Universa_47:01:18 (fc:4d:d4:47:01:18) | |
| Internet Protocol Version 4, Src: 10.1.0.14 (10.1.0.14), Dst: 10.33.5.130 (10.33.5.130) | |
| Transmission Control Protocol, Src Port: microsoft-ds (445), Dst Port: 64227 (64227), Seq: 1, Ack: 93, Len: 39 | |
| NetBIOS Session Service | |
| SMB (Server Message Block Protocol) | |
| SMB Header | |
| Server Component: SMB | |
| [Response to: 1] | |
| [Time from request: 0.001057000 seconds] | |
| SMB Command: NT Create AndX (0xa2) | |
| NT Status: STATUS_ACCESS_DENIED (0xc0000022) | |
| Flags: 0x98 | |
| 1... .... = Request/Response: Message is a response to the client/redirector | |
| .0.. .... = Notify: Notify client only on open | |
| ..0. .... = Oplocks: OpLock not requested/granted | |
| ...1 .... = Canonicalized Pathnames: Pathnames are canonicalized | |
| .... 1... = Case Sensitivity: Path names are caseless | |
| .... ..0. = Receive Buffer Posted: Receive buffer has not been posted | |
| .... ...0 = Lock and Read: Lock&Read, Write&Unlock are not supported | |
| Flags2: 0xc807 | |
| 1... .... .... .... = Unicode Strings: Strings are Unicode | |
| .1.. .... .... .... = Error Code Type: Error codes are NT error codes | |
| ..0. .... .... .... = Execute-only Reads: Don't permit reads if execute-only | |
| ...0 .... .... .... = Dfs: Don't resolve pathnames with Dfs | |
| .... 1... .... .... = Extended Security Negotiation: Extended security negotiation is supported | |
| .... .0.. .... .... = Reparse Path: The request does not use a @GMT reparse path | |
| .... .... .0.. .... = Long Names Used: Path names in request are not long file names | |
| .... .... ...0 .... = Security Signatures Required: Security signatures are not required | |
| .... .... .... 0... = Compressed: Compression is not requested | |
| .... .... .... .1.. = Security Signatures: Security signatures are supported | |
| .... .... .... ..1. = Extended Attributes: Extended attributes are supported | |
| .... .... .... ...1 = Long Names Allowed: Long file names are allowed in the response | |
| Process ID High: 0 | |
| Signature: 0000000000000000 | |
| Reserved: 0000 | |
| Tree ID: 1 | |
| Process ID: 6260 | |
| User ID: 1 | |
| Multiplex ID: 192 | |
| NT Create AndX Response (0xa2) | |
| Word Count (WCT): 0 | |
| Byte Count (BCC): 0 | |
| [FID: 0x0000 (\)] | |
| [Opened in: 2] | |
| [Closed in: 2] | |
| [File Name: \] | |
| Create Flags: 0x00000010 | |
| .... .... .... .... .... .... ...1 .... = Extended Response: Extended responses required | |
| .... .... .... .... .... .... .... 0... = Create Directory: Target of open can be a file | |
| .... .... .... .... .... .... .... .0.. = Batch Oplock: Does NOT request batch oplock | |
| .... .... .... .... .... .... .... ..0. = Exclusive Oplock: Does NOT request oplock | |
| Access Mask: 0x00100001 | |
| 0... .... .... .... .... .... .... .... = Generic Read: Generic read is NOT set | |
| .0.. .... .... .... .... .... .... .... = Generic Write: Generic write is NOT set | |
| ..0. .... .... .... .... .... .... .... = Generic Execute: Generic execute is NOT set | |
| ...0 .... .... .... .... .... .... .... = Generic All: Generic all is NOT set | |
| .... ..0. .... .... .... .... .... .... = Maximum Allowed: Maximum allowed is NOT set | |
| .... ...0 .... .... .... .... .... .... = System Security: System security is NOT set | |
| .... .... ...1 .... .... .... .... .... = Synchronize: Can wait on handle to SYNCHRONIZE on completion of I/O | |
| .... .... .... 0... .... .... .... .... = Write Owner: Can NOT write owner (take ownership) | |
| .... .... .... .0.. .... .... .... .... = Write DAC: Owner may NOT write to the DAC | |
| .... .... .... ..0. .... .... .... .... = Read Control: Read access is NOT granted to owner, group and ACL of the SID | |
| .... .... .... ...0 .... .... .... .... = Delete: NO delete access | |
| .... .... .... .... .... ...0 .... .... = Write Attributes: NO write attributes access | |
| .... .... .... .... .... .... 0... .... = Read Attributes: NO read attributes access | |
| .... .... .... .... .... .... .0.. .... = Delete Child: NO delete child access | |
| .... .... .... .... .... .... ..0. .... = Execute: NO execute access | |
| .... .... .... .... .... .... ...0 .... = Write EA: NO write extended attributes access | |
| .... .... .... .... .... .... .... 0... = Read EA: NO read extended attributes access | |
| .... .... .... .... .... .... .... .0.. = Append: NO append access | |
| .... .... .... .... .... .... .... ..0. = Write: NO write access | |
| .... .... .... .... .... .... .... ...1 = Read: READ access | |
| File Attributes: 0x00000000 | |
| .... .... .... .... .0.. .... .... .... = Encrypted: This is NOT an encrypted file | |
| .... .... .... .... ..0. .... .... .... = Content Indexed: This file MAY be indexed by the content indexing service | |
| .... .... .... .... ...0 .... .... .... = Offline: This file is NOT offline | |
| .... .... .... .... .... 0... .... .... = Compressed: This is NOT a compressed file | |
| .... .... .... .... .... .0.. .... .... = Reparse Point: This file does NOT have an associated reparse point | |
| .... .... .... .... .... ..0. .... .... = Sparse: This is NOT a sparse file | |
| .... .... .... .... .... ...0 .... .... = Temporary: This is NOT a temporary file | |
| .... .... .... .... .... .... 0... .... = Normal: This file has some attribute set | |
| .... .... .... .... .... .... .0.. .... = Device: This is NOT a device | |
| .... .... .... .... .... .... ..0. .... = Archive: This file has NOT been modified since last archive | |
| .... .... .... .... .... .... ...0 .... = Directory: This is NOT a directory | |
| .... .... .... .... .... .... .... 0... = Volume ID: This is NOT a volume ID | |
| .... .... .... .... .... .... .... .0.. = System: This is NOT a system file | |
| .... .... .... .... .... .... .... ..0. = Hidden: This is NOT a hidden file | |
| .... .... .... .... .... .... .... ...0 = Read Only: This file is NOT read only | |
| Share Access: 0x00000007 SHARE_DELETE SHARE_WRITE SHARE_READ | |
| .... .... .... .... .... .... .... .1.. = Delete: Object can be shared for DELETE | |
| .... .... .... .... .... .... .... ..1. = Write: Object can be shared for WRITE | |
| .... .... .... .... .... .... .... ...1 = Read: Object can be shared for READ | |
| Create Options: 0x00004001 | |
| .... .... .... .... .... .... .... ...1 = Directory: File being created/opened must be a directory | |
| .... .... .... .... .... .... .... ..0. = Write Through: Writes need not flush buffered data before completing | |
| .... .... .... .... .... .... .... .0.. = Sequential Only: The file might not only be accessed sequentially | |
| .... .... .... .... .... .... .... 0... = Intermediate Buffering: Intermediate buffering is allowed | |
| .... .... .... .... .... .... ...0 .... = Sync I/O Alert: Operations NOT necessarily synchronous | |
| .... .... .... .... .... .... ..0. .... = Sync I/O Nonalert: Operations NOT necessarily synchronous | |
| .... .... .... .... .... .... .0.. .... = Non-Directory: File being created/opened must be a directory | |
| .... .... .... .... .... .... 0... .... = Create Tree Connection: Create Tree Connections is NOT set | |
| .... .... .... .... .... ...0 .... .... = Complete If Oplocked: Complete if oplocked is NOT set | |
| .... .... .... .... .... ..0. .... .... = No EA Knowledge: The client understands extended attributes | |
| .... .... .... .... .... .0.. .... .... = 8.3 Only: The client understands long file names | |
| .... .... .... .... .... 0... .... .... = Random Access: The file will not be accessed randomly | |
| .... .... .... .... ...0 .... .... .... = Delete On Close: The file should not be deleted when it is closed | |
| .... .... .... .... ..0. .... .... .... = Open By FileID: OpenByFileID is NOT set | |
| .... .... .... .... .1.. .... .... .... = Backup Intent: This is a create with BACKUP INTENT | |
| .... .... .... .... 0... .... .... .... = No Compression: Compression is allowed for Open/Create | |
| .... .... ...0 .... .... .... .... .... = Reserve Opfilter: Reserve Opfilter is NOT set | |
| .... .... ..0. .... .... .... .... .... = Open Reparse Point: Normal open | |
| .... .... .0.. .... .... .... .... .... = Open No Recall: Open no recall is NOT set | |
| .... .... 0... .... .... .... .... .... = Open For Free Space query: This is NOT an open for free space query | |
| [Disposition: Open (if file exists open it, else fail) (1)] |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment