hacktricks/network-services-pentesting/pentesting-smb/rpcclient-enumeration.md

# rpcclient Enumeration

<details>

<summary><strong>Erlernen Sie AWS-Hacking von Grund auf mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

* Arbeiten Sie in einem **Cybersicherheitsunternehmen**? Möchten Sie Ihr **Unternehmen in HackTricks beworben sehen**? Oder möchten Sie Zugang zur **neuesten Version des PEASS erhalten oder HackTricks im PDF-Format herunterladen**? Überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* Holen Sie sich den [**offiziellen PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
* **Treten Sie der** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie mir auf **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs zum [HackTricks-Repository](https://github.com/carlospolop/hacktricks) und [HackTricks-Cloud-Repository](https://github.com/carlospolop/hacktricks-cloud) einreichen**.

</details>

### **Was ist eine RID**

### Überblick über Relative Identifiers (RID) und Security Identifiers (SID)

**Relative Identifiers (RID)** und **Security Identifiers (SID)** sind Schlüsselkomponenten in Windows-Betriebssystemen zur eindeutigen Identifizierung und Verwaltung von Objekten wie Benutzern und Gruppen in einem Netzwerkdienst.

- **SIDs** dienen als eindeutige Kennungen für Domänen, um sicherzustellen, dass jede Domäne unterscheidbar ist.
- **RIDs** werden an SIDs angehängt, um eindeutige Kennungen für Objekte innerhalb dieser Domänen zu erstellen. Diese Kombination ermöglicht eine präzise Verfolgung und Verwaltung von Objektberechtigungen und Zugriffssteuerungen.

Beispielsweise könnte ein Benutzer namens `pepe` eine eindeutige Kennung haben, die die SID der Domäne mit seiner spezifischen RID kombiniert, dargestellt in hexadezimaler (`0x457`) und dezimaler (`1111`) Form. Dies führt zu einer vollständigen und eindeutigen Kennung für pepe innerhalb der Domäne wie: `S-1-5-21-1074507654-1937615267-42093643874-1111`.


### **Enumeration mit rpcclient**

Das Dienstprogramm **`rpcclient`** von Samba wird verwendet, um mit **RPC-Endpunkten über benannte Pipes** zu interagieren. Nachdem eine **SMB-Sitzung hergestellt wurde**, können die folgenden Befehle an die SAMR-, LSARPC- und LSARPC-DS-Schnittstellen gesendet werden, wobei häufig Anmeldeinformationen erforderlich sind.

#### Serverinformationen

* Um **Serverinformationen zu erhalten**: wird der Befehl `srvinfo` verwendet.

#### Benutzerenumeration

* **Benutzer können aufgelistet werden** mit: `querydispinfo` und `enumdomusers`.
* **Details eines Benutzers** mit: `queryuser <0xrid>`.
* **Gruppen eines Benutzers** mit: `queryusergroups <0xrid>`.
* **Die SID eines Benutzers wird abgerufen** durch: `lookupnames <Benutzername>`.
* **Aliase von Benutzern** mit: `queryuseraliases [builtin|domain] <sid>`.
```bash
# Users' RIDs-forced
for i in $(seq 500 1100); do
rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done

# samrdump.py can also serve this purpose
```
#### Enumeration von Gruppen

* **Gruppen** mit: `enumdomgroups`.
* **Details einer Gruppe** mit: `querygroup <0xrid>`.
* **Mitglieder einer Gruppe** durch: `querygroupmem <0xrid>`.

#### Enumeration von Alias-Gruppen

* **Alias-Gruppen** mit: `enumalsgroups <builtin|domain>`.
* **Mitglieder einer Alias-Gruppe** mit: `queryaliasmem builtin|domain <0xrid>`.

#### Enumeration von Domänen

* **Domänen** mit: `enumdomains`.
* **Die SID einer Domäne wird abgerufen** durch: `lsaquery`.
* **Domäneninformationen werden abgerufen** durch: `querydominfo`.

#### Enumeration von Freigaben

* **Alle verfügbaren Freigaben** mit: `netshareenumall`.
* **Informationen zu einer bestimmten Freigabe werden abgerufen** mit: `netsharegetinfo <share>`.

#### Zusätzliche Operationen mit SIDs

* **SIDs nach Namen** mit: `lookupnames <username>`.
* **Weitere SIDs** durch: `lsaenumsid`.
* **RID-Zyklus zur Überprüfung weiterer SIDs** wird durchgeführt mit: `lookupsids <sid>`.

#### **Zusätzliche Befehle**

| **Befehl**           | **Schnittstelle**                                                                                                                                  | **Beschreibung**                                                                                                                          |
| ------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------- |
| queryuser           | SAMR                                                                                                                                              | Benutzerinformationen abrufen                                                                                                                 |
| querygroup          | Gruppeninformationen abrufen                                                                                                                        |                                                                                                                                           |
| querydominfo        | Domäneninformationen abrufen                                                                                                                       |                                                                                                                                           |
| enumdomusers        | Domänenbenutzer auflisten                                                                                                                            |                                                                                                                                           |
| enumdomgroups       | Domänengruppen auflisten                                                                                                                           |                                                                                                                                           |
| createdomuser       | Domänenbenutzer erstellen                                                                                                                              |                                                                                                                                           |
| deletedomuser       | Domänenbenutzer löschen                                                                                                                              |                                                                                                                                           |
| lookupnames         | LSARPC                                                                                                                                            | Benutzernamen zu SID[a](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#ch08fn8) Werten nachschlagen |
| lookupsids          | SIDs zu Benutzernamen umwandeln (RID[b](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#ch08fn9) Zyklus) |                                                                                                                                           |
| lsaaddacctrights    | Rechte zu einem Benutzerkonto hinzufügen                                                                                                                      |                                                                                                                                           |
| lsaremoveacctrights | Rechte von einem Benutzerkonto entfernen                                                                                                                 |                                                                                                                                           |
| dsroledominfo       | LSARPC-DS                                                                                                                                         | Primäre Domäneninformationen abrufen                                                                                                            |
| dsenumdomtrusts     | Vertrauenswürdige Domänen innerhalb eines AD-Forest auflisten                                                                                                     |                                                                                                                                           |

Um die Funktionsweise der Tools _**samrdump**_ und _**rpcdump**_ besser zu **verstehen**, sollten Sie [**Pentesting MSRPC**](../135-pentesting-msrpc.md) lesen.
Translated to German 2024-02-10 15:36:32 +00:00			`# rpcclient Enumeration`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
			`<details>`

Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			`<summary><strong>Erlernen Sie AWS-Hacking von Grund auf mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			`* Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks beworben sehen? Oder möchten Sie Zugang zur neuesten Version des PEASS erhalten oder HackTricks im PDF-Format herunterladen? Überprüfen Sie die [ABONNEMENTPLÄNE](https://github.com/sponsors/carlospolop)!`
Translated to German 2024-02-10 15:36:32 +00:00			`* Entdecken Sie [The PEASS Family](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [NFTs](https://opensea.io/collection/the-peass-family)`
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			`* Holen Sie sich den [offiziellen PEASS & HackTricks-Merch](https://peass.creator-spring.com)`
			`* Treten Sie der [💬](https://emojipedia.org/speech-balloon/) [Discord-Gruppe](https://discord.gg/hRep4RUj7f) oder der [Telegram-Gruppe](https://t.me/peass) bei oder folgen Sie mir auf Twitter 🐦[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Teilen Sie Ihre Hacking-Tricks, indem Sie PRs zum [HackTricks-Repository](https://github.com/carlospolop/hacktricks) und [HackTricks-Cloud-Repository](https://github.com/carlospolop/hacktricks-cloud) einreichen.`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
			`</details>`

Translated to German 2024-02-10 15:36:32 +00:00			`### Was ist eine RID`
GitBook: [#3559] No subject 2022-10-04 23:49:59 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`### Überblick über Relative Identifiers (RID) und Security Identifiers (SID)`
GitBook: [#3559] No subject 2022-10-04 23:49:59 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`Relative Identifiers (RID) und Security Identifiers (SID) sind Schlüsselkomponenten in Windows-Betriebssystemen zur eindeutigen Identifizierung und Verwaltung von Objekten wie Benutzern und Gruppen in einem Netzwerkdienst.`
a 2024-02-08 21:36:15 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			`- SIDs dienen als eindeutige Kennungen für Domänen, um sicherzustellen, dass jede Domäne unterscheidbar ist.`
			`- RIDs werden an SIDs angehängt, um eindeutige Kennungen für Objekte innerhalb dieser Domänen zu erstellen. Diese Kombination ermöglicht eine präzise Verfolgung und Verwaltung von Objektberechtigungen und Zugriffssteuerungen.`
a 2024-02-08 21:36:15 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			Beispielsweise könnte ein Benutzer namens `pepe` eine eindeutige Kennung haben, die die SID der Domäne mit seiner spezifischen RID kombiniert, dargestellt in hexadezimaler (`0x457`) und dezimaler (`1111`) Form. Dies führt zu einer vollständigen und eindeutigen Kennung für pepe innerhalb der Domäne wie: `S-1-5-21-1074507654-1937615267-42093643874-1111`.
GitBook: [#3559] No subject 2022-10-04 23:49:59 +00:00

Translated to German 2024-02-10 15:36:32 +00:00			`### Enumeration mit rpcclient`
GitBook: [#3559] No subject 2022-10-04 23:49:59 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			Das Dienstprogramm `rpcclient` von Samba wird verwendet, um mit RPC-Endpunkten über benannte Pipes zu interagieren. Nachdem eine SMB-Sitzung hergestellt wurde, können die folgenden Befehle an die SAMR-, LSARPC- und LSARPC-DS-Schnittstellen gesendet werden, wobei häufig Anmeldeinformationen erforderlich sind.
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`#### Serverinformationen`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			* Um Serverinformationen zu erhalten: wird der Befehl `srvinfo` verwendet.
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			`#### Benutzerenumeration`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			* Benutzer können aufgelistet werden mit: `querydispinfo` und `enumdomusers`.
			* Details eines Benutzers mit: `queryuser <0xrid>`.
Translated to German 2024-02-10 15:36:32 +00:00			* Gruppen eines Benutzers mit: `queryusergroups <0xrid>`.
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			* Die SID eines Benutzers wird abgerufen durch: `lookupnames <Benutzername>`.
			* Aliase von Benutzern mit: `queryuseraliases [builtin\|domain] <sid>`.
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00			```bash
a 2024-02-05 02:28:59 +00:00			`# Users' RIDs-forced`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00			`for i in $(seq 500 1100); do`
Translated to German 2024-02-10 15:36:32 +00:00			`rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" \| grep "User Name\\|user_rid\\|group_rid" && echo "";`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00			`done`

a 2024-02-05 02:28:59 +00:00			`# samrdump.py can also serve this purpose`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00			```
Translated to German 2024-02-10 15:36:32 +00:00			`#### Enumeration von Gruppen`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			* Gruppen mit: `enumdomgroups`.
			* Details einer Gruppe mit: `querygroup <0xrid>`.
			* Mitglieder einer Gruppe durch: `querygroupmem <0xrid>`.
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`#### Enumeration von Alias-Gruppen`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			* Alias-Gruppen mit: `enumalsgroups <builtin\|domain>`.
			* Mitglieder einer Alias-Gruppe mit: `queryaliasmem builtin\|domain <0xrid>`.
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`#### Enumeration von Domänen`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			* Domänen mit: `enumdomains`.
			* Die SID einer Domäne wird abgerufen durch: `lsaquery`.
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			* Domäneninformationen werden abgerufen durch: `querydominfo`.
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`#### Enumeration von Freigaben`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			* Alle verfügbaren Freigaben mit: `netshareenumall`.
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			* Informationen zu einer bestimmten Freigabe werden abgerufen mit: `netsharegetinfo <share>`.
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`#### Zusätzliche Operationen mit SIDs`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			* SIDs nach Namen mit: `lookupnames <username>`.
			* Weitere SIDs durch: `lsaenumsid`.
			* RID-Zyklus zur Überprüfung weiterer SIDs wird durchgeführt mit: `lookupsids <sid>`.
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated to German 2024-02-10 15:36:32 +00:00			`#### Zusätzliche Befehle`
GitBook: [#3557] No subject 2022-10-04 21:36:29 +00:00
Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2024-03-09 13:32:03 +00:00			`\| Befehl \| Schnittstelle \| Beschreibung \|`
			`\| ------------------- \| ------------------------------------------------------------------------------------------------------------------------------------------------- \| ----------------------------------------------------------------------------------------------------------------------------------------- \|`
			`\| queryuser \| SAMR \| Benutzerinformationen abrufen \|`
			`\| querygroup \| Gruppeninformationen abrufen \| \|`
			`\| querydominfo \| Domäneninformationen abrufen \| \|`
			`\| enumdomusers \| Domänenbenutzer auflisten \| \|`
			`\| enumdomgroups \| Domänengruppen auflisten \| \|`
			`\| createdomuser \| Domänenbenutzer erstellen \| \|`
			`\| deletedomuser \| Domänenbenutzer löschen \| \|`
			`\| lookupnames \| LSARPC \| Benutzernamen zu SID[a](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#ch08fn8) Werten nachschlagen \|`
			`\| lookupsids \| SIDs zu Benutzernamen umwandeln (RID[b](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch08.html#ch08fn9) Zyklus) \| \|`
			`\| lsaaddacctrights \| Rechte zu einem Benutzerkonto hinzufügen \| \|`
			`\| lsaremoveacctrights \| Rechte von einem Benutzerkonto entfernen \| \|`
			`\| dsroledominfo \| LSARPC-DS \| Primäre Domäneninformationen abrufen \|`
			`\| dsenumdomtrusts \| Vertrauenswürdige Domänen innerhalb eines AD-Forest auflisten \| \|`

			`Um die Funktionsweise der Tools _samrdump_ und _rpcdump_ besser zu verstehen, sollten Sie [Pentesting MSRPC](../135-pentesting-msrpc.md) lesen.`