hacktricks/network-services-pentesting/pentesting-rpcbind.md

# 111/TCP/UDP - Pentesting Portmapper

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}

<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>

{% embed url="https://websec.nl/" %}

## Información Básica

**Portmapper** es un servicio que se utiliza para mapear los puertos de servicios de red a números de programa **RPC** (Llamada a Procedimiento Remoto). Actúa como un componente crítico en **sistemas basados en Unix**, facilitando el intercambio de información entre estos sistemas. El **puerto** asociado con **Portmapper** es frecuentemente escaneado por atacantes, ya que puede revelar información valiosa. Esta información incluye el tipo de **Sistema Operativo (OS) Unix** que se está ejecutando y detalles sobre los servicios que están disponibles en el sistema. Además, **Portmapper** se utiliza comúnmente junto con **NFS (Sistema de Archivos de Red)**, **NIS (Servicio de Información de Red)** y otros **servicios basados en RPC** para gestionar los servicios de red de manera efectiva.

**Puerto por defecto:** 111/TCP/UDP, 32771 en Oracle Solaris
```
PORT    STATE SERVICE
111/tcp open  rpcbind
```
## Enumeración
```
rpcinfo irked.htb
nmap -sSUC -p111 192.168.10.1
```
A veces no te da ninguna información, en otras ocasiones obtendrás algo como esto:

![](<../.gitbook/assets/image (553).png>)

### Shodan

* `port:111 portmap`

## RPCBind + NFS

Si encuentras el servicio NFS, entonces probablemente podrás listar y descargar (y tal vez subir) archivos:

![](<../.gitbook/assets/image (872).png>)

Lee[ 2049 - Pentesting NFS service](nfs-service-pentesting.md) para aprender más sobre cómo probar este protocolo.

## NIS

Explorar las vulnerabilidades de **NIS** implica un proceso de dos pasos, comenzando con la identificación del servicio `ypbind`. La piedra angular de esta exploración es descubrir el **nombre de dominio NIS**, sin el cual el progreso se detiene.

![](<../.gitbook/assets/image (859).png>)

El viaje de exploración comienza con la instalación de los paquetes necesarios (`apt-get install nis`). El siguiente paso requiere usar `ypwhich` para confirmar la presencia del servidor NIS al hacer ping con el nombre de dominio y la IP del servidor, asegurando que estos elementos estén anonimizados por seguridad.

El paso final y crucial implica el comando `ypcat` para extraer datos sensibles, particularmente contraseñas de usuario encriptadas. Estos hashes, una vez descifrados utilizando herramientas como **John the Ripper**, revelan información sobre el acceso y privilegios del sistema.
```bash
# Install NIS tools
apt-get install nis
# Ping the NIS server to confirm its presence
ypwhich -d <domain-name> <server-ip>
# Extract user credentials
ypcat –d <domain-name> –h <server-ip> passwd.byname
```
### Archivos NIF

| **Archivo maestro** | **Mapa(s)**                  | **Notas**                         |
| ------------------- | ---------------------------- | --------------------------------- |
| /etc/hosts          | hosts.byname, hosts.byaddr   | Contiene nombres de host y detalles de IP |
| /etc/passwd         | passwd.byname, passwd.byuid  | Archivo de contraseñas de usuario NIS |
| /etc/group          | group.byname, group.bygid    | Archivo de grupos NIS            |
| /usr/lib/aliases    | mail.aliases                 | Detalles de alias de correo      |

## Usuarios RPC

Si encuentras el servicio **rusersd** listado así:

![](<../.gitbook/assets/image (1041).png>)

Podrías enumerar los usuarios de la máquina. Para aprender cómo, lee [1026 - Pentesting Rsusersd](1026-pentesting-rusersd.md).

## Bypass del puerto portmapper filtrado

Al realizar un **escaneo nmap** y descubrir puertos NFS abiertos con el puerto 111 siendo filtrado, la explotación directa de estos puertos no es factible. Sin embargo, al **simular un servicio portmapper localmente y crear un túnel desde tu máquina** hacia el objetivo, la explotación se vuelve posible utilizando herramientas estándar. Esta técnica permite eludir el estado filtrado del puerto 111, habilitando así el acceso a los servicios NFS. Para una guía detallada sobre este método, consulta el artículo disponible en [este enlace](https://medium.com/@sebnemK/how-to-bypass-filtered-portmapper-port-111-27cee52416bc).

## Shodan

* `Portmap`

## Laboratorios para practicar

* Practica estas técnicas en la [**máquina Irked HTB**](https://app.hackthebox.com/machines/Irked).

<figure><img src="https://pentest.eu/RENDER_WebSec_10fps_21sec_9MB_29042024.gif" alt=""><figcaption></figcaption></figure>

{% embed url="https://websec.nl/" %}

## Comandos Automáticos de HackTricks
```
Protocol_Name: Portmapper    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: PM or RPCBind        #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for PortMapper
Note: |
Portmapper is a service that is utilized for mapping network service ports to RPC (Remote Procedure Call) program numbers. It acts as a critical component in Unix-based systems, facilitating the exchange of information between these systems. The port associated with Portmapper is frequently scanned by attackers as it can reveal valuable information. This information includes the type of Unix Operating System (OS) running and details about the services that are available on the system. Additionally, Portmapper is commonly used in conjunction with NFS (Network File System), NIS (Network Information Service), and other RPC-based services to manage network services effectively.

https://book.hacktricks.xyz/pentesting/pentesting-rpcbind

Entry_2:
Name: rpc info
Description: May give netstat-type info
Command: whois -h {IP} -p 43 {Domain_Name} && echo {Domain_Name} | nc -vn {IP} 43

Entry_3:
Name: nmap
Description: May give netstat-type info
Command: nmap -sSUC -p 111 {IP}
```
{% hint style="success" %}
Aprende y practica Hacking en AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprende y practica Hacking en GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Apoya a HackTricks</summary>

* Revisa los [**planes de suscripción**](https://github.com/sponsors/carlospolop)!
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Comparte trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.

</details>
{% endhint %}