# 111/TCP/UDP - Teste de penetração no Portmapper

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Informações básicas

Fornece informações entre sistemas baseados em Unix. A porta é frequentemente sondada, pode ser usada para identificar o sistema operacional Nix e obter informações sobre serviços disponíveis. A porta é usada com NFS, NIS ou qualquer serviço baseado em rpc.

**Porta padrão:** 111/TCP/UDP, 32771 no Oracle Solaris
```
PORT    STATE SERVICE
111/tcp open  rpcbind
```
## Enumeração
```
rpcinfo irked.htb
nmap -sSUC -p111 192.168.10.1
```
Às vezes, não fornece nenhuma informação, em outras ocasiões, você obterá algo como isto:

![](<../.gitbook/assets/image (230).png>)

### Shodan

* `port:111 portmap`

## RPCBind + NFS

Se você encontrar o serviço NFS, provavelmente poderá listar e baixar (e talvez enviar) arquivos:

![](<../.gitbook/assets/image (232).png>)

Leia [2049 - Pentesting NFS service](nfs-service-pentesting.md) para saber mais sobre como testar este protocolo.

## NIS

Se você encontrar o serviço `ypbind` em execução:

![](<../.gitbook/assets/image (233).png>)

Você pode tentar explorá-lo. De qualquer forma, em primeiro lugar, você **precisará adivinhar o "nome de domínio" NIS** da máquina (quando o NIS é instalado, é configurado um "nome de domínio") e **sem saber este nome de domínio, você não pode fazer nada**.

Ao obter o nome de domínio NIS para o ambiente (example.org neste caso), use o comando ypwhich para pingar o servidor NIS e ypcat para obter material sensível. Você deve alimentar hashes de senha criptografadas no John the Ripper e, uma vez quebradas, pode usá-las para avaliar o acesso e os privilégios do sistema.
```bash
root@kali:~# apt-get install nis
root@kali:~# ypwhich -d example.org 192.168.10.1
potatohead.example.org
root@kali:~# ypcat –d example.org –h 192.168.10.1 passwd.byname
tiff:noR7Bk6FdgcZg:218:101::/export/home/tiff:/bin/bash 
katykat:d.K5tGUWCJfQM:2099:102::/export/home/katykat:/bin/bash 
james:i0na7pfgtxi42:332:100::/export/home/james:/bin/tcsh 
florent:nUNzkxYF0Hbmk:199:100::/export/home/florent:/bin/csh 
dave:pzg1026SzQlwc:182:100::/export/home/dave:/bin/bash 
yumi:ZEadZ3ZaW4v9.:1377:160::/export/home/yumi:/bin/bash
```
| **Arquivo mestre** | **Mapa(s)**                 | **Notas**                                        |
| ------------------ | --------------------------- | ------------------------------------------------ |
| /etc/hosts         | hosts.byname, hosts.byaddr  | Contém nomes de host e detalhes de IP             |
| /etc/passwd        | passwd.byname, passwd.byuid | Arquivo de senha do usuário NIS                  |
| /etc/group         | group.byname, group.bygid   | Arquivo de grupo NIS                             |
| /usr/lib/aliases   | mail.aliases                | Detalhes de alias de email                        |

## Usuários RPC

Se você encontrar o serviço **rusersd** listado assim:

![](<../.gitbook/assets/image (231).png>)

Você pode enumerar usuários da máquina. Para aprender como, leia [1026 - Pentesting Rsusersd](1026-pentesting-rusersd.md).

## Bypass no portmapper filtrado

Se durante uma varredura nmap você vir portas abertas como NFS, mas a porta 111 está filtrada, você não poderá explorar essas portas.\
Mas, se você puder simular localmente um serviço de portmapper e tunelar a porta NFS da sua máquina para a vítima, você poderá usar ferramentas regulares para explorar esses serviços.\
Mais informações em [https://medium.com/@sebnemK/how-to-bypass-filtered-portmapper-port-111-27cee52416bc](https://medium.com/@sebnemK/how-to-bypass-filtered-portmapper-port-111-27cee52416bc)

## Shodan

* `Portmap`

## Laboratórios para praticar

* Pratique essas técnicas na máquina [**Irked HTB**](https://app.hackthebox.com/machines/Irked).

## Comandos Automáticos do HackTricks
```
Protocol_Name: Portmapper    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: PM or RPCBind        #Protocol Abbreviation Spelled out

Entry_1:
  Name: Notes
  Description: Notes for PortMapper
  Note: |
    Provides information between Unix based systems. Port is often probed, it can be used to fingerprint the Nix OS, and to obtain information about available services. Port used with NFS, NIS, or any rpc-based service.

    https://book.hacktricks.xyz/pentesting/pentesting-rpcbind

Entry_2:
  Name: rpc info
  Description: May give netstat-type info
  Command: whois -h {IP} -p 43 {Domain_Name} && echo {Domain_Name} | nc -vn {IP} 43

Entry_3:
  Name: nmap
  Description: May give netstat-type info
  Command: nmap -sSUC -p 111 {IP}
```
<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) **grupo do Discord** ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>