hacktricks/network-services-pentesting/135-pentesting-msrpc.md

135, 593 - MSRPC Pentesting

AWS hacklemeyi sıfırdan kahramana öğrenin htARTE (HackTricks AWS Red Team Expert) ile!

HackTricks'ı desteklemenin diğer yolları:

• Şirketinizi HackTricks'te reklamını görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız ABONELİK PLANLARI'na göz atın!
• Resmi PEASS & HackTricks ürünlerini edinin
• The PEASS Family'yi keşfedin, özel NFT'lerimiz koleksiyonumuz
• Bize katılın 💬 Discord grubunda veya telegram grubunda veya bizi Twitter 🐦 @carlospolopm** takip edin.**
• Hacking püf noktalarınızı paylaşarak HackTricks ve HackTricks Cloud github depolarına PR göndererek katkıda bulunun.

Deneyimli hackerlar ve ödül avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hackleme İpuçları
Hackleme heyecanını ve zorluklarını inceleyen içeriklerle etkileşime geçin

Gerçek Zamanlı Hack Haberleri
Hızlı tempolu hack dünyasında gerçek zamanlı haberler ve içgörülerle güncel kalın

En Son Duyurular
Yeni ödül avı başlatmaları ve önemli platform güncellemeleri hakkında bilgilenin

Bize katılın Discord ve bugün en iyi hackerlarla işbirliğine başlayın!

Temel Bilgiler

Microsoft Uzak Yordam Çağrısı (MSRPC) protokolü, bir programın ağın ayrıntılarını anlamadan başka bir bilgisayardaki bir programdan hizmet istemesine olanak tanıyan istemci-sunucu modelidir. Başlangıçta açık kaynak yazılımlardan türetilen ve daha sonra Microsoft tarafından geliştirilen ve telif hakkı alınan bir protokoldür.

RPC uç nokta eşleyicisine TCP ve UDP port 135 üzerinden, SMB üzerinden TCP 139 ve 445'te (boş veya kimlik doğrulamalı oturumla) ve bir web hizmeti olarak TCP port 593 üzerinden erişilebilir.

135/tcp   open     msrpc         Microsoft Windows RPC

MSRPC nasıl çalışır?

İstemci uygulaması tarafından başlatılan MSRPC süreci, yerel bir kısayol prosedürünü çağırarak isteği sunucuya iletmek için istemci çalışma zamanı kitaplığıyla etkileşime giren bir süreci içerir. Bu, parametreleri standart Bir Ağ Veri Temsili formatına dönüştürmeyi içerir. Sunucu uzakta ise, taşıma protokolünün seçimi çalışma zamanı kitaplığı tarafından belirlenir ve RPC'nin ağ yığını üzerinden iletilmesini sağlar.

Açığa Çıkarılmış RPC Hizmetlerini Tanımlama

RPC hizmetlerinin TCP, UDP, HTTP ve SMB üzerinde açığa çıkarılması, RPC yer bulma servisine ve bireysel uç noktalara sorgu gönderilerek belirlenebilir. rpcdump gibi araçlar, benzersiz RPC hizmetlerini tanımlamaya yardımcı olur, IFID değerleri ile belirtilen hizmet ayrıntılarını ve iletişim bağlantılarını ortaya çıkarır.

D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:<IP>[1028]

RPC yer bulucu servisine erişim belirli protokoller aracılığıyla etkinleştirilir: port 135 üzerinden erişim için ncacn_ip_tcp ve ncadg_ip_udp, SMB bağlantıları için ncacn_np ve web tabanlı RPC iletişimi için ncacn_http. Aşağıdaki komutlar, Metasploit modüllerinin MSRPC hizmetlerini denetlemek ve etkileşimde bulunmak için nasıl kullanılabileceğini örneklemektedir:

use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135

Tüm seçenekler, tcp_dcerpc_auditor hariç MSRPC'yi hedeflemek üzere özel olarak tasarlanmıştır.

Dikkate Değer RPC Arayüzleri

• IFID: 12345778-1234-abcd-ef00-0123456789ab

• Adlandırılmış Boru: \pipe\lsarpc

• Açıklama: Kullanıcıları sıralamak için kullanılan LSA arayüzü.

• IFID: 3919286a-b10c-11d0-9ba8-00c04fd92ef5

• Adlandırılmış Boru: \pipe\lsarpc

• Açıklama: Alanları ve güven ilişkilerini sıralamak için kullanılan LSA Dizin Hizmetleri (DS) arayüzü.

• IFID: 12345778-1234-abcd-ef00-0123456789ac

• Adlandırılmış Boru: \pipe\samr

• Açıklama: Hesap kilit politikasından bağımsız olarak genel SAM veritabanı öğelerine (örneğin, kullanıcı adları) erişmek ve kullanıcı şifrelerini kaba kuvvet yöntemiyle bulmak için kullanılan LSA SAMR arayüzü.

• IFID: 1ff70682-0a51-30e8-076d-740be8cee98b

• Adlandırılmış Boru: \pipe\atsvc

• Açıklama: Komutları uzaktan yürütmek için kullanılan Görev Zamanlayıcısı.

• IFID: 338cd001-2244-31f1-aaaa-900038001003

• Adlandırılmış Boru: \pipe\winreg

• Açıklama: Sistem kayıt defterine erişmek ve değiştirmek için kullanılan Uzak kayıt defteri hizmeti.

• IFID: 367abb81-9844-35f1-ad32-98f038001003

• Adlandırılmış Boru: \pipe\svcctl

• Açıklama: Hizmet kontrol yöneticisi ve sunucu hizmetleri, hizmetleri uzaktan başlatmak ve durdurmak ve komutları yürütmek için kullanılır.

• IFID: 4b324fc8-1670-01d3-1278-5a47bf6ee188

• Adlandırılmış Boru: \pipe\srvsvc

• Açıklama: Hizmet kontrol yöneticisi ve sunucu hizmetleri, hizmetleri uzaktan başlatmak ve durdurmak ve komutları yürütmek için kullanılır.

• IFID: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57

• Adlandırılmış Boru: \pipe\epmapper

• Açıklama: DCOM arayüzü, WM aracılığıyla kaba kuvvet şifre öğütme ve bilgi toplama için kullanılır.

IP adreslerini tanımlama

https://github.com/mubix/IOXIDResolver kullanarak, Airbus araştırması tarafından gelen ServerAlive2 yöntemini IOXIDResolver arayüzü içinde kötüye kullanmak mümkündür.

Bu yöntem, HTB kutusu APT'den IPv6 adresi olarak arayüz bilgilerini almak için kullanılmıştır. 0xdf APT yazısına buradan ulaşabilirsiniz, Impacket'ten rpcmap.py kullanarak stringbinding ile alternatif bir yöntem içermektedir (yukarıya bakınız).

Geçerli kimlik bilgileriyle RCE yürütme

Geçerli bir kullanıcının kimlik bilgileri mevcutsa, impacket çerçevesinden dcomexec.py kullanılarak bir makinede uzaktan kod yürütmek mümkündür.

Farklı mevcut nesnelerle denemeyi unutmayın

• ShellWindows
• ShellBrowserWindow
• MMC20

Port 593

rpctools'dan rpcdump.exe bu porta etkileşimde bulunabilir.

Referanslar

• https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/
• https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/
• https://0xffsec.com/handbook/services/msrpc/

Deneyimli hackerlar ve hata avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking Insights
Hacking'in heyecanını ve zorluklarını inceleyen içeriklerle etkileşime geçin

Gerçek Zamanlı Hack Haberleri
Hızlı tempolu hacking dünyasını gerçek zamanlı haberler ve içgörülerle takip edin

En Son Duyurular
Yeni hata avcılıklarını ve önemli platform güncellemelerini takip edin

Bize Discord katılın ve bugün en iyi hackerlarla işbirliğine başlayın!