Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00

Translator 2a880206d7 Translated ['network-services-pentesting/135-pentesting-msrpc.md'] to sw

2024-03-25 14:09:44 +00:00

8.3 KiB

Raw Blame History

135, 593 - Kupima MSRPC

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Jiunge na HackenProof Discord server ili kuwasiliana na wadukuzi wenye uzoefu na wawindaji wa tuzo za mdudu!

Machapisho ya Kudukua
Shiriki na yaliyomo yanayochimba kina katika msisimko na changamoto za kudukua

Taarifa za Kudukua za Muda Halisi
Kaa up-to-date na ulimwengu wa kudukua wenye kasi kupitia habari na ufahamu wa muda halisi

Matangazo ya Karibuni
Baki mwelekezwa na tuzo za mdudu zinazoanzishwa na sasisho muhimu za jukwaa

Jiunge nasi kwenye Discord na anza kushirikiana na wadukuzi bora leo!

Taarifa Msingi

Itifaki ya Kuita Kijijini ya Microsoft (MSRPC), mfano wa mteja-seva unaozingatia programu kuomba huduma kutoka kwa programu iliyoko kwenye kompyuta nyingine bila kuelewa maelezo ya mtandao, ilichochewa awali kutoka kwa programu ya chanzo wazi na baadaye ikafanyiwa maendeleo na kuhakikiwa na Microsoft.

Mwambo wa mwisho wa RPC unaweza kufikiwa kupitia bandari za TCP na UDP 135, SMB kwenye TCP 139 na 445 (na kikao cha null au kilichoidhinishwa), na kama huduma ya wavuti kwenye bandari ya TCP 593.

135/tcp   open     msrpc         Microsoft Windows RPC

Jinsi gani MSRPC inavyofanya kazi?

Kuanzishwa na programu ya mteja, mchakato wa MSRPC unahusisha kuita utaratibu wa mbadala wa ndani ambao kisha huingiliana na maktaba ya muda wa mteja ili kuandaa na kutuma ombi kwa seva. Hii ni pamoja na kubadilisha parameta kuwa muundo wa Uwakilishi wa Data wa Mtandao wa kawaida. Chaguo la itifaki ya usafirishaji linapangwa na maktaba ya muda wa mteja ikiwa seva iko mbali, ikidhibitisha kuwa RPC inatumwa kupitia safu ya mtandao.

Kutambua Huduma za RPC Zilizofichuliwa

Ufunuo wa huduma za RPC kupitia TCP, UDP, HTTP, na SMB unaweza kugunduliwa kwa kuuliza huduma ya mchunguzi wa RPC na vituo vya mwisho binafsi. Zana kama rpcdump hufanikisha kutambua huduma za RPC za kipekee, zinazotambuliwa na thamani za IFID, zikifunua maelezo ya huduma na vifungo vya mawasiliano:

D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:<IP>[1028]

Upatikanaji wa huduma ya RPC locator unawezeshwa kupitia itifaki maalum: ncacn_ip_tcp na ncadg_ip_udp kwa kupata kupitia bandari 135, ncacn_np kwa uunganisho wa SMB, na ncacn_http kwa mawasiliano ya RPC yanayotegemea wavuti. Amri zifuatazo zinaonyesha matumizi ya moduli za Metasploit kufanya ukaguzi na kuingiliana na huduma za MSRPC, zikilenga hasa bandari 135:

use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135

Hakuna chaguo ila tcp_dcerpc_auditor iliyoundwa kwa kuchunguza MSRPC kwenye bandari 135.

Violezo vya RPC vya Kumbukumbu

IFID: 12345778-1234-abcd-ef00-0123456789ab
Pipa lililopewa jina: \pipe\lsarpc
Maelezo: Kiolesura cha LSA, hutumika kuchambua watumiaji.
IFID: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
Pipa lililopewa jina: \pipe\lsarpc
Maelezo: Kiolesura cha Huduma za Mwongozo wa LSA (DS), hutumika kuchambua uwanja na mahusiano ya uaminifu.
IFID: 12345778-1234-abcd-ef00-0123456789ac
Pipa lililopewa jina: \pipe\samr
Maelezo: Kiolesura cha LSA SAMR, hutumika kupata vipengele vya kumbukumbu ya SAM ya umma (k.m., majina ya watumiaji) na kuvunja nguvu nywila za watumiaji bila kujali sera ya kufunga akaunti.
IFID: 1ff70682-0a51-30e8-076d-740be8cee98b
Pipa lililopewa jina: \pipe\atsvc
Maelezo: Meneja wa kazi, hutumika kutekeleza amri kijijini.
IFID: 338cd001-2244-31f1-aaaa-900038001003
Pipa lililopewa jina: \pipe\winreg
Maelezo: Huduma ya usajili wa kijijini, hutumika kupata na kurekebisha usajili wa mfumo.
IFID: 367abb81-9844-35f1-ad32-98f038001003
Pipa lililopewa jina: \pipe\svcctl
Maelezo: Meneja wa udhibiti wa huduma na huduma za seva, hutumika kuanza na kusitisha huduma kijijini na kutekeleza amri.
IFID: 4b324fc8-1670-01d3-1278-5a47bf6ee188
Pipa lililopewa jina: \pipe\srvsvc
Maelezo: Meneja wa udhibiti wa huduma na huduma za seva, hutumika kuanza na kusitisha huduma kijijini na kutekeleza amri.
IFID: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
Pipa lililopewa jina: \pipe\epmapper
Maelezo: Kiolesura cha DCOM, hutumika kwa kuvunja nguvu nywila na kukusanya habari kupitia WM.

Kutambua Anwani za IP

Kwa kutumia https://github.com/mubix/IOXIDResolver, inayotoka kwenye utafiti wa Airbus, inawezekana kutumia njia ya ServerAlive2 ndani ya kiolesura cha IOXIDResolver.

Njia hii imekuwa ikitumika kupata habari ya kiolesura kama anwani ya IPv6 kutoka kwenye sanduku la HTB APT. Angalia hapa kwa mwongozo wa 0xdf APT, inajumuisha njia mbadala ya kutumia rpcmap.py kutoka Impacket na stringbinding (angalia hapo juu).

Kutekeleza RCE na sifa halali

Inawezekana kutekeleza msimbo wa kijijini kwenye mashine, ikiwa sifa za mtumiaji halali zinapatikana kwa kutumia dcomexec.py kutoka kwenye mfumo wa impacket.

Kumbuka kujaribu na vitu tofauti vinavyopatikana

ShellWindows
ShellBrowserWindow
MMC20

Bandari 593

rpcdump.exe kutoka rpctools inaweza kuingiliana na bandari hii.

Marejeo