# 135, 593 - Testowanie penetracyjne MSRPC

<details>

<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.

</details>

<figure><img src="../.gitbook/assets/image (377).png" alt=""><figcaption></figcaption></figure>

Dołącz do serwera [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy), aby komunikować się z doświadczonymi hakerami i łowcami błędów!

**Spostrzeżenia dotyczące hakowania**\
Zajmij się treściami, które zagłębiają się w emocje i wyzwania hakowania

**Aktualności dotyczące hakowania w czasie rzeczywistym**\
Bądź na bieżąco z szybkim tempem świata hakowania dzięki aktualnościom i spostrzeżeniom w czasie rzeczywistym

**Najnowsze ogłoszenia**\
Bądź na bieżąco z najnowszymi programami bug bounty i istotnymi aktualizacjami platform

**Dołącz do nas na** [**Discordzie**](https://discord.com/invite/N3FrSbmwdy) i zacznij współpracować z najlepszymi hakerami już dziś!

## Podstawowe informacje

Protokół Microsoft Remote Procedure Call (MSRPC), model klient-serwer umożliwiający programowi żądanie usługi od programu znajdującego się na innym komputerze bez konieczności zrozumienia szczegółów sieci, początkowo pochodził z oprogramowania open-source, a następnie został rozwinięty i opatentowany przez firmę Microsoft.

Mapper punktów końcowych RPC można uzyskać za pośrednictwem portu TCP i UDP 135, SMB na TCP 139 i 445 (z pustą lub uwierzytelnioną sesją) oraz jako usługę sieciową na porcie TCP 593.
```
135/tcp   open     msrpc         Microsoft Windows RPC
```
## Jak działa MSRPC?

Zainicjowany przez aplikację klienta, proces MSRPC polega na wywołaniu lokalnej procedury pomocniczej, która następnie współdziała z biblioteką czasu wykonania klienta, aby przygotować i przesłać żądanie do serwera. Obejmuje to konwersję parametrów na standardowy format reprezentacji danych sieciowych. Wybór protokołu transportu jest określany przez bibliotekę czasu wykonania, jeśli serwer jest zdalny, zapewniając dostarczenie RPC przez stos sieciowy.

![https://0xffsec.com/handbook/images/msrpc.png](https://0xffsec.com/handbook/images/msrpc.png)

## **Identyfikacja wystawionych usług RPC**

Wystawienie usług RPC poprzez TCP, UDP, HTTP i SMB można określić poprzez zapytanie usługi lokalizatora RPC i poszczególnych punktów końcowych. Narzędzia takie jak rpcdump ułatwiają identyfikację unikalnych usług RPC, oznaczonych wartościami **IFID**, ujawniając szczegóły usługi i powiązania komunikacyjne:
```
D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:<IP>[1028]
```
Dostęp do usługi lokalizatora RPC jest włączony poprzez określone protokoły: ncacn\_ip\_tcp i ncadg\_ip\_udp do dostępu za pośrednictwem portu 135, ncacn\_np do połączeń SMB oraz ncacn\_http do komunikacji opartej na RPC w sieci webowej. Poniższe polecenia ilustrują wykorzystanie modułów Metasploit do audytu i interakcji z usługami MSRPC, skupiając się głównie na porcie 135:
```bash
use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135
```
Wszystkie opcje oprócz `tcp_dcerpc_auditor` są specjalnie zaprojektowane do celowania w MSRPC na porcie 135.

#### Znaczące interfejsy RPC

* **IFID**: 12345778-1234-abcd-ef00-0123456789ab
* **Named Pipe**: `\pipe\lsarpc`
* **Opis**: Interfejs LSA, używany do wyliczania użytkowników.
* **IFID**: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
* **Named Pipe**: `\pipe\lsarpc`
* **Opis**: Interfejs usług katalogowych LSA (DS), używany do wyliczania domen i relacji zaufania.
* **IFID**: 12345778-1234-abcd-ef00-0123456789ac
* **Named Pipe**: `\pipe\samr`
* **Opis**: Interfejs LSA SAMR, używany do dostępu do publicznych elementów bazy danych SAM (np. nazwy użytkowników) i łamania haseł użytkowników bez względu na politykę blokady konta.
* **IFID**: 1ff70682-0a51-30e8-076d-740be8cee98b
* **Named Pipe**: `\pipe\atsvc`
* **Opis**: Harmonogram zadań, używany do zdalnego wykonywania poleceń.
* **IFID**: 338cd001-2244-31f1-aaaa-900038001003
* **Named Pipe**: `\pipe\winreg`
* **Opis**: Usługa rejestru zdalnego, używana do dostępu i modyfikacji rejestru systemowego.
* **IFID**: 367abb81-9844-35f1-ad32-98f038001003
* **Named Pipe**: `\pipe\svcctl`
* **Opis**: Menedżer kontroli usług i usługi serwerowe, używane do zdalnego uruchamiania i zatrzymywania usług oraz wykonywania poleceń.
* **IFID**: 4b324fc8-1670-01d3-1278-5a47bf6ee188
* **Named Pipe**: `\pipe\srvsvc`
* **Opis**: Menedżer kontroli usług i usługi serwerowe, używane do zdalnego uruchamiania i zatrzymywania usług oraz wykonywania poleceń.
* **IFID**: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
* **Named Pipe**: `\pipe\epmapper`
* **Opis**: Interfejs DCOM, używany do łamania haseł metodą brute-force i zbierania informacji za pomocą WM.

### Identyfikacja adresów IP

Korzystając z [https://github.com/mubix/IOXIDResolver](https://github.com/mubix/IOXIDResolver), pochodzącego z [badania Airbusa](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/), możliwe jest nadużycie metody _**ServerAlive2**_ wewnątrz interfejsu _**IOXIDResolver**_.

Ta metoda została wykorzystana do uzyskania informacji o interfejsie jako adres **IPv6** z boxa HTB _APT_. Zobacz [tutaj](https://0xdf.gitlab.io/2021/04/10/htb-apt.html) opis APT od 0xdf, zawiera on alternatywną metodę korzystającą z rpcmap.py z [Impacket](https://github.com/SecureAuthCorp/impacket/) z _stringbinding_ (patrz powyżej).

### Wykonywanie RCE z prawidłowymi danymi uwierzytelniającymi

Możliwe jest wykonanie zdalnego kodu na maszynie, jeśli dostępne są dane uwierzytelniające prawidłowego użytkownika, korzystając z [dcomexec.py](https://github.com/fortra/impacket/blob/master/examples/dcomexec.py) z ramy impacket.

**Pamiętaj, aby spróbować z różnymi dostępnymi obiektami**

* ShellWindows
* ShellBrowserWindow
* MMC20

## Port 593

**rpcdump.exe** z [rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) może komunikować się z tym portem.

## Referencje

* [https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/)
* [https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/](https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/)
* [https://0xffsec.com/handbook/services/msrpc/](https://0xffsec.com/handbook/services/msrpc/)

<figure><img src="../.gitbook/assets/image (377).png" alt=""><figcaption></figcaption></figure>

Dołącz do [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy), aby komunikować się z doświadczonymi hakerami i łowcami błędów!

**Spostrzeżenia dotyczące hakerstwa**\
Zajmij się treściami, które zagłębiają się w emocje i wyzwania hakerstwa

**Aktualności dotyczące hakerstwa na żywo**\
Bądź na bieżąco z szybkim tempem świata hakerstwa dzięki aktualnościom i spostrzeżeniom na żywo

**Najnowsze ogłoszenia**\
Bądź na bieżąco z najnowszymi programami nagród za błędy i istotnymi aktualizacjami platformy

**Dołącz do nas na** [**Discordzie**](https://discord.com/invite/N3FrSbmwdy) i zacznij współpracować z najlepszymi hakerami już dziś!

<details>

<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na githubie.

</details>