hacktricks/network-services-pentesting/pentesting-smb/rpcclient-enumeration.md

# rpcclient Enumeration

<details>

<summary><strong>Erlernen Sie AWS-Hacking von Grund auf mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

* Arbeiten Sie in einem **Cybersicherheitsunternehmen**? Möchten Sie Ihr **Unternehmen in HackTricks beworben sehen**? Oder möchten Sie Zugriff auf die **neueste Version des PEASS erhalten oder HackTricks im PDF-Format herunterladen**? Überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* Holen Sie sich den [**offiziellen PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
* **Treten Sie der** [**💬**](https://emojipedia.org/speech-balloon/) **Discord-Gruppe** bei (https://discord.gg/hRep4RUj7f) oder der **Telegram-Gruppe** oder **folgen** Sie mir auf **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs zum [HackTricks-Repo](https://github.com/carlospolop/hacktricks) und [HackTricks-Cloud-Repo](https://github.com/carlospolop/hacktricks-cloud) einreichen**.

</details>

**Try Hard Security Group**

<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>

{% embed url="https://discord.gg/tryhardsecurity" %}

***

### Übersicht über Relative Identifiers (RID) und Security Identifiers (SID)

**Relative Identifiers (RID)** und **Security Identifiers (SID)** sind Schlüsselkomponenten in Windows-Betriebssystemen zur eindeutigen Identifizierung und Verwaltung von Objekten wie Benutzern und Gruppen in einem Netzwerkdienst.

- **SIDs** dienen als eindeutige Kennungen für Domänen, um sicherzustellen, dass jede Domäne unterscheidbar ist.
- **RIDs** werden an SIDs angehängt, um eindeutige Kennungen für Objekte innerhalb dieser Domänen zu erstellen. Diese Kombination ermöglicht eine präzise Verfolgung und Verwaltung von Objektberechtigungen und Zugriffssteuerungen.

Beispielsweise könnte ein Benutzer namens `pepe` eine eindeutige Kennung haben, die die SID der Domäne mit seiner spezifischen RID kombiniert, dargestellt in hexadezimaler (`0x457`) und dezimaler (`1111`) Form. Dies führt zu einer vollständigen und eindeutigen Kennung für pepe innerhalb der Domäne wie: `S-1-5-21-1074507654-1937615267-42093643874-1111`.


### **Enumeration mit rpcclient**

Das Dienstprogramm **`rpcclient`** von Samba wird verwendet, um mit **RPC-Endpunkten über benannte Pipes** zu interagieren. Nachdem eine **SMB-Sitzung hergestellt wurde**, können die folgenden Befehle an die Schnittstellen SAMR, LSARPC und LSARPC-DS gesendet werden, wobei häufig Anmeldeinformationen erforderlich sind.

#### Serverinformationen

* Um **Serverinformationen zu erhalten**: wird der Befehl `srvinfo` verwendet.

#### Benutzerenumeration

* **Benutzer können aufgelistet werden** mit: `querydispinfo` und `enumdomusers`.
* **Details eines Benutzers** mit: `queryuser <0xrid>`.
* **Gruppen eines Benutzers** mit: `queryusergroups <0xrid>`.
* **Die SID eines Benutzers wird abgerufen** durch: `lookupnames <Benutzername>`.
* **Aliase von Benutzern** mit: `queryuseraliases [builtin|domain] <sid>`.
```bash
# Users' RIDs-forced
for i in $(seq 500 1100); do
rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done

# samrdump.py can also serve this purpose
```
#### Enumeration von Gruppen

* **Gruppen** mit: `enumdomgroups`.
* **Details einer Gruppe** mit: `querygroup <0xrid>`.
* **Mitglieder einer Gruppe** durch: `querygroupmem <0xrid>`.

#### Enumeration von Alias-Gruppen

* **Alias-Gruppen** mit: `enumalsgroups <builtin|domain>`.
* **Mitglieder einer Alias-Gruppe** mit: `queryaliasmem builtin|domain <0xrid>`.

#### Enumeration von Domänen

* **Domänen** mit: `enumdomains`.
* **Die SID einer Domäne wird abgerufen** durch: `lsaquery`.
* **Domäneninformationen werden abgerufen** durch: `querydominfo`.

#### Enumeration von Freigaben

* **Alle verfügbaren Freigaben** mit: `netshareenumall`.
* **Informationen zu einer bestimmten Freigabe werden abgerufen** mit: `netsharegetinfo <share>`.

#### Zusätzliche Operationen mit SIDs

* **SIDs nach Namen** mit: `lookupnames <username>`.
* **Weitere SIDs** durch: `lsaenumsid`.
* **RID-Zyklus zur Überprüfung weiterer SIDs** wird durchgeführt mit: `lookupsids <sid>`.

#### **Zusätzliche Befehle**

| **Befehl**           | **Schnittstelle**                                                                                                                                  | **Beschreibung**                                                                                                                         |
| ------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------- |
| queryuser           | SAMR                                                                                                                                              | Benutzerinformationen abrufen                                                                                                            |
| querygroup          | Gruppeninformationen abrufen                                                                                                                     |                                                                                                                                           |
| querydominfo        | Domäneninformationen abrufen                                                                                                                     |                                                                                                                                           |
| enumdomusers        | Domänenbenutzer auflisten                                                                                                                       |                                                                                                                                           |
| enumdomgroups       | Domänengruppen auflisten                                                                                                                        |                                                                                                                                           |
| createdomuser       | Domänenbenutzer erstellen                                                                                                                       |                                                                                                                                           |
| deletedomuser       | Domänenbenutzer löschen                                                                                                                         |                                                                                                                                           |
| lookupnames         | LSARPC                                                                                                                                            | Benutzernamen zu SID[a](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#ch08fn8) Werten suchen |
| lookupsids          | SIDs zu Benutzernamen suchen (RID[b](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#ch08fn9) Zyklus) |                                                                                                                                           |
| lsaaddacctrights    | Rechte zu einem Benutzerkonto hinzufügen                                                                                                         |                                                                                                                                           |
| lsaremoveacctrights | Rechte von einem Benutzerkonto entfernen                                                                                                         |                                                                                                                                           |
| dsroledominfo       | LSARPC-DS                                                                                                                                         | Primäre Domäneninformationen abrufen                                                                                                    |
| dsenumdomtrusts     | Vertrauenswürdige Domänen innerhalb eines AD-Forest auflisten                                                                                   |                                                                                                                                           |

Um die Funktionsweise der Tools _**samrdump**_ und _**rpcdump**_ besser zu **verstehen**, sollten Sie [**Pentesting MSRPC**](../135-pentesting-msrpc.md) lesen.

**Try Hard Security Group**

<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>

{% embed url="https://discord.gg/tryhardsecurity" %}

<details>

<summary><strong>Erlernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

* Arbeiten Sie in einem **Cybersicherheitsunternehmen**? Möchten Sie Ihr **Unternehmen in HackTricks beworben** sehen? Oder möchten Sie Zugriff auf die **neueste Version des PEASS oder HackTricks als PDF** haben? Überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
* **Treten Sie der** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie mir auf **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das [HackTricks-Repo](https://github.com/carlospolop/hacktricks) und das [HackTricks-Cloud-Repo](https://github.com/carlospolop/hacktricks-cloud) senden**.

</details>