12 KiB
Enumeración de rpcclient
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Obtén el swag oficial de PEASS y HackTricks
- Únete al 💬 grupo de Discord o al grupo de Telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.
Encuentra las vulnerabilidades que más importan para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos proactivos de amenazas, encuentra problemas en toda tu pila tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. Pruébalo gratis hoy.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
¿Qué es un RID?
Un Identificador Relativo (RID) es un identificador único (representado en formato hexadecimal) utilizado por Windows para rastrear e identificar objetos. Para explicar cómo encaja esto, veamos los ejemplos a continuación:
- El SID para el dominio NAME_DOMAIN.LOCAL es:
S-1-5-21-1038751438-1834703946-36937684957. - Cuando se crea un objeto dentro de un dominio, el número anterior (SID) se combinará con un RID para crear un valor único utilizado para representar el objeto.
- Entonces, el usuario de dominio
johncon un RID:[0x457] Hex 0x457 sería igual a decimal1111, tendrá un SID de usuario completo:S-1-5-21-1038751438-1834703946-36937684957-1111. - Esto es único para el objeto
johnen el dominio NAME_DOMAIN.LOCAL y nunca verás este valor emparejado con otro objeto en este dominio o en cualquier otro.
Definición de aquí.
Enumeración con rpcclient
Esta sección fue extraída del libro "Network Security Assesment 3rd Edition"
Puedes utilizar la utilidad rpcclient de Samba para interactuar con puntos finales de RPC a través de named pipes. A continuación se enumeran los comandos que puedes utilizar en las interfaces SAMR, LSARPC y LSARPC-DS una vez que hayas establecido una sesión SMB (a menudo se requieren credenciales).
Información del servidor
- Información del servidor:
srvinfo
Enumeración de usuarios
- Listar usuarios:
querydispinfoyenumdomusers - Obtener detalles de usuario:
queryuser <0xrid> - Obtener grupos de usuario:
queryusergroups <0xrid> - Obtener SID de un usuario:
lookupnames <username> - Obtener alias de usuarios:
queryuseraliases [builtin|domain] <sid>
# Brute-Force users RIDs
for i in $(seq 500 1100); do
rpcclient -N -U "" 10.129.14.128 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done
# You can also use samrdump.py for this purpose
Enumeración de grupos
- Listar grupos:
enumdomgroups - Obtener detalles de un grupo:
querygroup <0xrid> - Obtener miembros de un grupo:
querygroupmem <0xrid>
Enumeración de grupos de alias
- Listar alias:
enumalsgroups <builtin|domain> - Obtener miembros:
queryaliasmem builtin|domain <0xrid>
Enumeración de dominios
- Listar dominios:
enumdomains - Obtener SID:
lsaquery - Información del dominio:
querydominfo
Enumeración de recursos compartidos
- Enumerar todos los recursos compartidos disponibles:
netshareenumall - Información sobre un recurso compartido:
netsharegetinfo <share>
Más SID
- Encontrar SID por nombre:
lookupnames <username> - Encontrar más SID:
lsaenumsid - Ciclo de RID (ver más SID):
lookupsids <sid>
Comandos adicionales
| Comando | Interfaz | Descripción |
|---|---|---|
| queryuser | SAMR | Obtener información de usuario |
| querygroup | Obtener información de grupo | |
| querydominfo | Obtener información de dominio | |
| enumdomusers | Enumerar usuarios de dominio | |
| enumdomgroups | Enumerar grupos de dominio | |
| createdomuser | Crear un usuario de dominio | |
| deletedomuser | Eliminar un usuario de dominio | |
| lookupnames | LSARPC | Buscar nombres de usuario para valores SIDa |
| lookupsids | Buscar SID para nombres de usuario (ciclo de RIDb) | |
| lsaaddacctrights | Agregar derechos a una cuenta de usuario | |
| lsaremoveacctrights | Eliminar derechos de una cuenta de usuario | |
| dsroledominfo | LSARPC-DS | Obtener información del dominio principal |
| dsenumdomtrusts | Enumerar dominios de confianza dentro de un bosque de AD |
Para comprender mejor cómo funcionan las herramientas samrdump y rpcdump, debes leer Pentesting MSRPC.
Encuentra las vulnerabilidades que más importan para que puedas solucionarlas más rápido. Intruder rastrea tu superficie de ataque, realiza escaneos proactivos de amenazas, encuentra problemas en toda tu infraestructura tecnológica, desde APIs hasta aplicaciones web y sistemas en la nube. Pruébalo gratis hoy.
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Obtén el swag oficial de PEASS y HackTricks
- Únete al 💬 grupo de Discord o al grupo de Telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PR al repositorio hacktricks y hacktricks-cloud.