# 135, 593 - Pentesting MSRPC
{% hint style="success" %}
AWS Hacking'i öğrenin ve pratik yapın:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
GCP Hacking'i öğrenin ve pratik yapın: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
HackTricks'i Destekleyin
* [**abonelik planlarını**](https://github.com/sponsors/carlospolop) kontrol edin!
* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın ya da **Twitter'da** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**'i takip edin.**
* **Hacking ipuçlarını paylaşmak için** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna PR gönderin.
{% endhint %}
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) sunucusuna katılın!
**Hacking İçgörüleri**\
Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
**Gerçek Zamanlı Hack Haberleri**\
Gerçek zamanlı haberler ve içgörülerle hızlı tempolu hacking dünyasında güncel kalın
**Son Duyurular**\
Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bugün [**Discord**](https://discord.com/invite/N3FrSbmwdy) üzerinden bize katılın ve en iyi hackerlarla işbirliği yapmaya başlayın!
## Temel Bilgiler
Microsoft Uzaktan Prosedür Çağrısı (MSRPC) protokolü, bir programın başka bir bilgisayarda bulunan bir programdan hizmet talep etmesini sağlayan bir istemci-sunucu modelidir ve ağın ayrıntılarını anlamadan çalışır. İlk olarak açık kaynak yazılımdan türetilmiş ve daha sonra Microsoft tarafından geliştirilip telif hakkı alınmıştır.
RPC uç noktası haritalayıcı, TCP ve UDP port 135, TCP 139 ve 445 üzerinde SMB (null veya kimlik doğrulamalı oturum ile) ve TCP port 593 üzerinde bir web hizmeti aracılığıyla erişilebilir.
```
135/tcp open msrpc Microsoft Windows RPC
```
## MSRPC nasıl çalışır?
İstemci uygulaması tarafından başlatılan MSRPC süreci, istemci çalışma zamanı kütüphanesi ile etkileşime giren yerel bir stub prosedürünü çağırmayı içerir ve ardından isteği sunucuya hazırlayıp iletir. Bu, parametrelerin standart Ağ Veri Temsili formatına dönüştürülmesini içerir. Taşıma protokolü seçimi, sunucu uzaktaysa çalışma zamanı kütüphanesi tarafından belirlenir ve RPC'nin ağ yığını üzerinden iletilmesini sağlar.
![https://0xffsec.com/handbook/images/msrpc.png](https://0xffsec.com/handbook/images/msrpc.png)
## **Açık RPC Hizmetlerini Belirleme**
TCP, UDP, HTTP ve SMB üzerinden RPC hizmetlerinin açığı, RPC yer bulucu hizmeti ve bireysel uç noktalar sorgulanarak belirlenebilir. rpcdump gibi araçlar, **IFID** değerleri ile belirtilen benzersiz RPC hizmetlerinin tanımlanmasına yardımcı olur ve hizmet detayları ile iletişim bağlarını ortaya çıkarır:
```
D:\rpctools> rpcdump [-p port]
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:[1028]
```
RPC yer bulucu hizmetine erişim, belirli protokoller aracılığıyla etkinleştirilmiştir: port 135 üzerinden erişim için ncacn\_ip\_tcp ve ncadg\_ip\_udp, SMB bağlantıları için ncacn\_np ve web tabanlı RPC iletişimi için ncacn\_http. Aşağıdaki komutlar, esasen port 135'e odaklanarak, MSRPC hizmetlerini denetlemek ve etkileşimde bulunmak için Metasploit modüllerinin kullanımını örneklemektedir:
```bash
use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py -p 135
```
Tüm seçenekler `tcp_dcerpc_auditor` hariç, 135 numaralı portta MSRPC'yi hedef almak için özel olarak tasarlanmıştır.
#### Dikkate Değer RPC arayüzleri
* **IFID**: 12345778-1234-abcd-ef00-0123456789ab
* **Adlandırılmış Boru**: `\pipe\lsarpc`
* **Açıklama**: Kullanıcıları listelemek için kullanılan LSA arayüzü.
* **IFID**: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
* **Adlandırılmış Boru**: `\pipe\lsarpc`
* **Açıklama**: Alanları ve güven ilişkilerini listelemek için kullanılan LSA Dizin Hizmetleri (DS) arayüzü.
* **IFID**: 12345778-1234-abcd-ef00-0123456789ac
* **Adlandırılmış Boru**: `\pipe\samr`
* **Açıklama**: Kamu SAM veritabanı öğelerine (örneğin, kullanıcı adları) erişmek ve kullanıcı şifrelerini hesap kilitleme politikası gözetmeksizin zorlamak için kullanılan LSA SAMR arayüzü.
* **IFID**: 1ff70682-0a51-30e8-076d-740be8cee98b
* **Adlandırılmış Boru**: `\pipe\atsvc`
* **Açıklama**: Uzakta komutları yürütmek için kullanılan görev zamanlayıcı.
* **IFID**: 338cd001-2244-31f1-aaaa-900038001003
* **Adlandırılmış Boru**: `\pipe\winreg`
* **Açıklama**: Sistemin kayıt defterine erişmek ve değiştirmek için kullanılan uzak kayıt defteri hizmeti.
* **IFID**: 367abb81-9844-35f1-ad32-98f038001003
* **Adlandırılmış Boru**: `\pipe\svcctl`
* **Açıklama**: Uzakta hizmetleri başlatmak ve durdurmak ve komutları yürütmek için kullanılan hizmet kontrol yöneticisi ve sunucu hizmetleri.
* **IFID**: 4b324fc8-1670-01d3-1278-5a47bf6ee188
* **Adlandırılmış Boru**: `\pipe\srvsvc`
* **Açıklama**: Uzakta hizmetleri başlatmak ve durdurmak ve komutları yürütmek için kullanılan hizmet kontrol yöneticisi ve sunucu hizmetleri.
* **IFID**: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
* **Adlandırılmış Boru**: `\pipe\epmapper`
* **Açıklama**: WM aracılığıyla şifre zorlaması ve bilgi toplama için kullanılan DCOM arayüzü.
### IP adreslerini belirleme
[https://github.com/mubix/IOXIDResolver](https://github.com/mubix/IOXIDResolver) kullanarak, [Airbus araştırması](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/) ile _**IOXIDResolver**_ arayüzü içindeki _**ServerAlive2**_ yöntemini kötüye kullanmak mümkündür.
Bu yöntem, HTB kutusundan _APT_ olarak **IPv6** adresi gibi arayüz bilgilerini almak için kullanılmıştır. 0xdf APT yazısı için [buraya](https://0xdf.gitlab.io/2021/04/10/htb-apt.html) bakın, rpcmap.py kullanarak alternatif bir yöntem içermektedir [Impacket](https://github.com/SecureAuthCorp/impacket/) ile _stringbinding_ (yukarıya bakın).
### Geçerli kimlik bilgileri ile RCE yürütme
Geçerli bir kullanıcının kimlik bilgileri mevcutsa, [dcomexec.py](https://github.com/fortra/impacket/blob/master/examples/dcomexec.py) kullanarak bir makinede uzaktan kod yürütmek mümkündür.
**Mevcut farklı nesnelerle denemeyi unutmayın**
* ShellWindows
* ShellBrowserWindow
* MMC20
## Port 593
[rpctools](https://resources.oreilly.com/examples/9780596510305/tree/master/tools/rpctools) içindeki **rpcdump.exe** bu port ile etkileşimde bulunabilir.
## Referanslar
* [https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/](https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/)
* [https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/](https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/)
* [https://0xffsec.com/handbook/services/msrpc/](https://0xffsec.com/handbook/services/msrpc/)
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) sunucusuna katılın!
**Hacking İçgörüleri**\
Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
**Gerçek Zamanlı Hack Haberleri**\
Hızla değişen hacking dünyasında gerçek zamanlı haberler ve içgörülerle güncel kalın
**Son Duyurular**\
Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bugün en iyi hackerlarla işbirliği yapmak için [**Discord**](https://discord.com/invite/N3FrSbmwdy) sunucumuza katılın!
{% hint style="success" %}
AWS Hacking'i öğrenin ve pratik yapın:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
GCP Hacking'i öğrenin ve pratik yapın: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
HackTricks'i Destekleyin
* [**abonelik planlarını**](https://github.com/sponsors/carlospolop) kontrol edin!
* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın ya da **Twitter'da** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**'i takip edin.**
* **Hacking ipuçlarını paylaşmak için [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna PR gönderin.**
{% endhint %}