hacktricks/network-services-pentesting/135-pentesting-msrpc.md

## Informations de base

Microsoft Remote Procedure Call, également connu sous le nom d'appel de fonction ou d'appel de sous-routine, est un protocole qui utilise le modèle client-serveur pour permettre à un programme de demander un service à un programme sur un autre ordinateur sans avoir à comprendre les détails du réseau de cet ordinateur. MSRPC a été initialement dérivé d'un logiciel open source mais a été développé davantage et protégé par des droits d'auteur par Microsoft.

Selon la configuration de l'hôte, le gestionnaire de point de terminaison RPC peut être accessible via les ports TCP et UDP 135, via SMB avec une session nulle ou authentifiée (TCP 139 et 445), et en tant que service Web écoutant sur le port TCP 593.
```
135/tcp   open     msrpc         Microsoft Windows RPC
```
## Comment fonctionne MSRPC?

Le processus MSRPC commence côté client, avec l'application cliente appelant une procédure locale de stub au lieu du code implémentant la procédure. Le code stub client récupère les paramètres requis de l'espace d'adressage client et les transmet à la bibliothèque d'exécution client, qui traduit ensuite les paramètres dans un format standard de représentation de données réseau pour les transmettre au serveur.

Le stub client appelle ensuite des fonctions dans la bibliothèque d'exécution client RPC pour envoyer la demande et les paramètres au serveur. Si le serveur est situé à distance, la bibliothèque d'exécution spécifie un protocole de transport approprié et un moteur et transmet le RPC à la pile réseau pour le transport vers le serveur.\
À partir de là: [https://www.extrahop.com/resources/protocols/msrpc/](https://www.extrahop.com/resources/protocols/msrpc/)

![](<../.gitbook/assets/image (133).png>)

**Image du livre "**_**Network Security Assesment 3rd Edition**_**"**

## **Identification des services RPC exposés**

Vous pouvez interroger le service de localisation RPC et les points de terminaison RPC individuels pour cataloguer les services intéressants s'exécutant sur TCP, UDP, HTTP et SMB (via des pipes nommés). Chaque valeur IFID recueillie par ce processus désigne un service RPC (par exemple, 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc est l'interface Messenger).

Les utilitaires Windows rpcdump et ifids de Todd Sabin interrogent à la fois le service de localisation RPC et les points de terminaison RPC spécifiques pour répertorier les valeurs IFID. La syntaxe de rpcdump est la suivante:
```
D:\rpctools> rpcdump [-p port] 192.168.189.1
IfId: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:192.168.189.1[1028]
```
Vous pouvez accéder au service RPC locator en utilisant quatre séquences de protocoles :

* ncacn\_ip\_tcp et ncadg\_ip\_udp (port TCP et UDP 135)
* ncacn\_np (le pipe nommé \pipe\epmapper via SMB)
* ncacn\_http (RPC sur HTTP via le port TCP 80, 593 et autres)
```bash
use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135
```
_Notez que de toutes les options mentionnées, seule **`tcp_dcerpc_auditor`** ne peut être exécutée que contre **msrpc** sur le port 135._

#### Interfaces RPC notables

| **Valeur IFID**                      | **Named pipe** | **Description**                                                                                                                                                                                                                                                                           |
| ------------------------------------ | -------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 12345778-1234-abcd-ef00-0123456789ab | \pipe\lsarpc   | Interface LSA, utilisée pour énumérer les utilisateurs                                                                                                                                                                                                                                    |
| 3919286a-b10c-11d0-9ba8-00c04fd92ef5 | \pipe\lsarpc   | Interface LSA Directory Services (DS), utilisée pour énumérer les domaines et les relations de confiance                                                                                                                                                                                   |
| 12345778-1234-abcd-ef00-0123456789ac | \pipe\samr     | Interface LSA SAMR, utilisée pour accéder aux éléments publics de la base de données SAM (par exemple, les noms d'utilisateur) et pour forcer les mots de passe des utilisateurs indépendamment de la politique de verrouillage de compte [bibliothèque Oreilly](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#idm139659172852688) |
| 1ff70682-0a51-30e8-076d-740be8cee98b | \pipe\atsvc    | Planificateur de tâches, utilisé pour exécuter des commandes à distance                                                                                                                                                                                                                    |
| 338cd001-2244-31f1-aaaa-900038001003 | \pipe\winreg   | Service de registre à distance, utilisé pour accéder au registre système                                                                                                                                                                                                                    |
| 367abb81-9844-35f1-ad32-98f038001003 | \pipe\svcctl   | Gestionnaire de services et services de serveur, utilisé pour démarrer et arrêter des services à distance et exécuter des commandes                                                                                                                                                        |
| 4b324fc8-1670-01d3-1278-5a47bf6ee188 | \pipe\srvsvc   | Gestionnaire de services et services de serveur, utilisé pour démarrer et arrêter des services à distance et exécuter des commandes                                                                                                                                                        |
| 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 | \pipe\epmapper | Interface DCOM, prenant en charge WMI                                                                                                                                                                                                                                                      |

### Identification des adresses IP

En utilisant [https://github.com/mubix/IOXIDResolver](https://github.com/mubix/IOXIDResolver), qui provient de la recherche d'Airbus, il est possible d'abuser de la méthode _**ServerAlive2**_ à l'intérieur de l'interface _**IOXIDResolver**_.

Cette méthode a été utilisée pour obtenir des informations d'interface telles que l'adresse **IPv6** de la boîte HTB _APT_. Voir [ici](https://0xdf.gitlab.io/2021/04/10/htb-apt.html) pour le writeup APT de 0xdf, qui inclut une méthode alternative utilisant rpcmap.py de [Impacket](https://github.com/SecureAuthCorp/impacket/) avec _stringbinding_ (voir ci-dessus).

Références :

* [https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/)
* [https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/](https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/)

## Port 593

Le **rpcdump.exe** de [rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) peut interagir avec ce port.

​

<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>

[**Suivez HackenProof**](https://bit.ly/3xrrDrL) **pour en savoir plus sur les bugs web3**

🐞 Lisez les tutoriels sur les bugs web3

🔔 Soyez informé des nouveaux programmes de primes pour bugs

💬 Participez aux discussions de la communauté

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>