9.3 KiB
135, 593 - Pentesting MSRPC
Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kyk na die INSKRYWINGSPLANNE!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek Die PEASS Familie, ons versameling eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.
Sluit aan by HackenProof Discord bediener om te kommunikeer met ervare hackers en foutbeloningsjagters!
Hacking-insigte
Raak betrokke by inhoud wat die opwinding en uitdagings van hack bevat
Hack Nuus in Werklikheid
Bly op hoogte van die vinnige hack-wêreld deur werklikheidsnuus en insigte
Nuutste Aankondigings
Bly ingelig met die nuutste foutbelonings wat bekendgestel word en belangrike platformopdaterings
Sluit by ons aan op Discord en begin vandag saamwerk met top hackers!
Basiese Inligting
Die Microsoft Remote Procedure Call (MSRPC) protokol, 'n kliënt-bediener model wat 'n program in staat stel om 'n diens van 'n program op 'n ander rekenaar aan te vra sonder om die spesifieke netwerk te verstaan, is aanvanklik afgelei van oopbron sagteware en later ontwikkel en gekopieer deur Microsoft.
Die RPC-eindpuntkarter kan benader word via TCP en UDP-poort 135, SMB op TCP 139 en 445 (met 'n nul of geauthentiseerde sessie), en as 'n webdiens op TCP-poort 593.
135/tcp open msrpc Microsoft Windows RPC
Hoe werk MSRPC?
Geïnisieer deur die klienttoepassing, behels die MSRPC-proses die oproep van 'n plaaslike stub-prosedure wat dan interaksie het met die klient-runtime-biblioteek om die versoek na die bediener voor te berei en oor te dra. Dit sluit in die omskakeling van parameters na 'n standaard Netwerkdata-voorstellingformaat. Die keuse van vervoerprotokol word bepaal deur die runtime-biblioteek as die bediener afgeleë is, wat verseker dat die RPC deur die netwerkstapel afgelewer word.
Identifisering van Blootgestelde RPC-diens
Die blootstelling van RPC-diens oor TCP, UDP, HTTP, en SMB kan bepaal word deur die RPC-lokator-diens en individuele eindpunte te ondersoek. Gereedskap soos rpcdump fasiliteer die identifisering van unieke RPC-diens, aangedui deur IFID-waardes, wat diensbesonderhede en kommunikasiebinding onthul:
D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:<IP>[1028]
Toegang tot die RPC lokator-diens is moontlik deur spesifieke protokolle: ncacn_ip_tcp en ncadg_ip_udp vir toegang via poort 135, ncacn_np vir SMB-verbindinge, en ncacn_http vir web-gebaseerde RPC kommunikasie. Die volgende opdragte illustreer die gebruik van Metasploit-modules om oudit te doen en te interageer met MSRPC-diens, hoofsaaklik gefokus op poort 135:
use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135
Alle opsies behalwe tcp_dcerpc_auditor
is spesifiek ontwerp vir die teiken van MSRPC op poort 135.
Merkwaardige RPC-koppelvlakke
- IFID: 12345778-1234-abcd-ef00-0123456789ab
- Genoemde Pyp:
\pipe\lsarpc
- Beskrywing: LSA-koppelvlak, gebruik om gebruikers op te som.
- IFID: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
- Genoemde Pyp:
\pipe\lsarpc
- Beskrywing: LSA-gidsdiens (DS) koppelvlak, gebruik om domeine en vertrouensverhoudings op te som.
- IFID: 12345778-1234-abcd-ef00-0123456789ac
- Genoemde Pyp:
\pipe\samr
- Beskrywing: LSA SAMR-koppelvlak, gebruik om openbare SAM-databasis elemente (bv., gebruikersname) en brute-force gebruikers wagwoorde ongeag rekening sluitingsbeleid te benader.
- IFID: 1ff70682-0a51-30e8-076d-740be8cee98b
- Genoemde Pyp:
\pipe\atsvc
- Beskrywing: Taakscheduler, gebruik om op afstand bevele uit te voer.
- IFID: 338cd001-2244-31f1-aaaa-900038001003
- Genoemde Pyp:
\pipe\winreg
- Beskrywing: Afgeleë registerdiens, gebruik om die stelselregister te benader en te wysig.
- IFID: 367abb81-9844-35f1-ad32-98f038001003
- Genoemde Pyp:
\pipe\svcctl
- Beskrywing: Diensbeheerbestuurder en bedienerdiens, gebruik om dienste op afstand te begin en te stop en bevele uit te voer.
- IFID: 4b324fc8-1670-01d3-1278-5a47bf6ee188
- Genoemde Pyp:
\pipe\srvsvc
- Beskrywing: Diensbeheerbestuurder en bedienerdiens, gebruik om dienste op afstand te begin en te stop en bevele uit te voer.
- IFID: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
- Genoemde Pyp:
\pipe\epmapper
- Beskrywing: DCOM-koppelvlak, gebruik vir brute-force wagwoord slyp en inligting insameling via WM.
Identifisering van IP-adresse
Deur https://github.com/mubix/IOXIDResolver te gebruik, afkomstig van Airbus-navorsing, is dit moontlik om die ServerAlive2 metode binne die IOXIDResolver koppelvlak te misbruik.
Hierdie metode is gebruik om koppelvlak inligting as IPv6-adres van die HTB-boks APT te kry. Sien hier vir 0xdf APT skryfstuk, dit sluit 'n alternatiewe metode in wat rpcmap.py van Impacket met stringbinding gebruik (sien bostaande).
Uitvoering van 'n RCE met geldige geloofsbriewe
Dit is moontlik om afgeleë kode op 'n masjien uit te voer, as die geloofsbriewe van 'n geldige gebruiker beskikbaar is deur dcomexec.py van die Impacket-raamwerk te gebruik.
Onthou om met die verskillende beskikbare voorwerpe te probeer
- ShellWindows
- ShellBrowserWindow
- MMC20
Poort 593
Die rpcdump.exe van rpctools kan met hierdie poort kommunikeer.
Verwysings
- https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/
- https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/
- https://0xffsec.com/handbook/services/msrpc/
Sluit aan by HackenProof Discord bediener om met ervare hackers en foutbeloningsjagters te kommunikeer!
Hack-insigte
Gaan in gesprek met inhoud wat die opwinding en uitdagings van hack ondersoek
Reële tyd Hack Nuus
Bly op hoogte van die vinnige hackwêreld deur middel van nuus en insigte in reële tyd
Nuutste Aankondigings
Bly ingelig met die nuutste foutbelonings wat bekendgestel word en belangrike platformopdaterings
Sluit by ons aan op Discord en begin vandag saamwerk met top hackers!
Leer AWS hack van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy wil sien jou maatskappy geadverteer in HackTricks of laai HackTricks in PDF af Kyk na die INSKRYWINGSPLANNE!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek Die PEASS Familie, ons versameling eksklusiewe NFTs
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou hacktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github repos.