9.9 KiB
rpcclient enumeration
{% hint style="success" %}
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Przegląd identyfikatorów względnych (RID) i identyfikatorów zabezpieczeń (SID)
Identyfikatory względne (RID) i Identyfikatory zabezpieczeń (SID) są kluczowymi komponentami w systemach operacyjnych Windows do unikalnego identyfikowania i zarządzania obiektami, takimi jak użytkownicy i grupy, w obrębie domeny sieciowej.
- SID służą jako unikalne identyfikatory dla domen, zapewniając, że każda domena jest rozróżnialna.
- RID są dołączane do SID, aby tworzyć unikalne identyfikatory dla obiektów w tych domenach. Ta kombinacja pozwala na precyzyjne śledzenie i zarządzanie uprawnieniami obiektów oraz kontrolą dostępu.
Na przykład, użytkownik o imieniu pepe może mieć unikalny identyfikator łączący SID domeny z jego specyficznym RID, reprezentowany w formatach szesnastkowym (0x457) i dziesiętnym (1111). Skutkuje to kompletnym i unikalnym identyfikatorem dla pepe w domenie, takim jak: S-1-5-21-1074507654-1937615267-42093643874-1111.
Enumeracja z rpcclient
Narzędzie rpcclient z Samba jest wykorzystywane do interakcji z punktami końcowymi RPC przez nazwane potoki. Poniżej znajdują się polecenia, które można wydać do interfejsów SAMR, LSARPC i LSARPC-DS po nawiązaniu sesji SMB, często wymagających poświadczeń.
Informacje o serwerze
- Aby uzyskać Informacje o serwerze: używa się polecenia
srvinfo.
Enumeracja użytkowników
- Użytkownicy mogą być wylistowani za pomocą:
querydispinfoienumdomusers. - Szczegóły użytkownika za pomocą:
queryuser <0xrid>. - Grupy użytkownika za pomocą:
queryusergroups <0xrid>. - SID użytkownika jest pobierany przez:
lookupnames <username>. - Aliasy użytkowników za pomocą:
queryuseraliases [builtin|domain] <sid>.
# Users' RIDs-forced
for i in $(seq 500 1100); do
rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done
# samrdump.py can also serve this purpose
Enumeracja grup
- Grupy za pomocą:
enumdomgroups. - Szczegóły grupy z:
querygroup <0xrid>. - Członkowie grupy przez:
querygroupmem <0xrid>.
Enumeracja grup aliasów
- Grupy aliasów za pomocą:
enumalsgroups <builtin|domain>. - Członkowie grupy aliasów z:
queryaliasmem builtin|domain <0xrid>.
Enumeracja domen
- Domeny przy użyciu:
enumdomains. - SID domeny jest pobierany przez:
lsaquery. - Informacje o domenie są uzyskiwane za pomocą:
querydominfo.
Enumeracja udostępnień
- Wszystkie dostępne udostępnienia za pomocą:
netshareenumall. - Informacje o konkretnym udostępnieniu są pobierane z:
netsharegetinfo <share>.
Dodatkowe operacje z SID-ami
- SID-y według nazwy przy użyciu:
lookupnames <username>. - Więcej SID-ów przez:
lsaenumsid. - Cykliczne RID-y w celu sprawdzenia większej liczby SID-ów są wykonywane przez:
lookupsids <sid>.
Dodatkowe polecenia
| Polecenie | Interfejs | Opis |
|---|---|---|
| queryuser | SAMR | Pobierz informacje o użytkowniku |
| querygroup | Pobierz informacje o grupie | |
| querydominfo | Pobierz informacje o domenie | |
| enumdomusers | Enumeruj użytkowników domeny | |
| enumdomgroups | Enumeruj grupy domeny | |
| createdomuser | Utwórz użytkownika domeny | |
| deletedomuser | Usuń użytkownika domeny | |
| lookupnames | LSARPC | Wyszukaj nazwy użytkowników do wartości SIDa |
| lookupsids | Wyszukaj SID-y do nazw użytkowników (cykliczne RIDb) | |
| lsaaddacctrights | Dodaj prawa do konta użytkownika | |
| lsaremoveacctrights | Usuń prawa z konta użytkownika | |
| dsroledominfo | LSARPC-DS | Uzyskaj informacje o głównej domenie |
| dsenumdomtrusts | Enumeruj zaufane domeny w obrębie lasu AD |
Aby lepiej zrozumieć, jak działają narzędzia samrdump i rpcdump, powinieneś przeczytać Pentesting MSRPC.
{% hint style="success" %}
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie dla HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.