mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 21:24:06 +00:00
11 KiB
11 KiB
rpcclient枚举
☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一个网络安全公司工作吗?你想在HackTricks中看到你的公司广告吗?或者你想获得PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品The PEASS Family
- 获得官方PEASS和HackTricks周边产品
- 加入💬 Discord群组或电报群组或关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。
找到最重要的漏洞,以便您可以更快地修复它们。Intruder跟踪您的攻击面,运行主动威胁扫描,发现整个技术堆栈中的问题,从API到Web应用程序和云系统。立即免费试用。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
什么是RID
相对标识符(RID)是Windows用于跟踪和识别对象的唯一标识符(以十六进制格式表示)。为了解释它的作用,让我们看一下下面的例子:
- NAME_DOMAIN.LOCAL域的SID是:
S-1-5-21-1038751438-1834703946-36937684957。 - 当在域内创建对象时,上述数字(SID)将与RID组合,以生成用于表示该对象的唯一值。
- 因此,具有RID:[0x457] Hex 0x457等于十进制
1111的域用户john将具有完整的用户SID:S-1-5-21-1038751438-1834703946-36937684957-1111。 - 这对于NAME_DOMAIN.LOCAL域中的
john对象是唯一的,您将永远不会看到此配对值与该域或任何其他对象相关联。
定义来自这里。
使用rpcclient进行枚举
本节的一部分摘自书籍网络安全评估第三版**"
您可以使用Samba的**rpcclient实用程序通过命名管道与RPC端点进行交互。以下是您可以在建立**SMB会话后(通常需要凭据)向SAMR、LSARPC和LSARPC-DS接口发出的命令列表。
服务器信息
- 服务器信息:
srvinfo
用户枚举
- 列出用户:
querydispinfo和enumdomusers - 获取用户详细信息:
queryuser <0xrid> - 获取用户组:
queryusergroups <0xrid> - 获取用户的SID:
lookupnames <username> - 获取用户别名:
queryuseraliases [builtin|domain] <sid>
# Brute-Force users RIDs
for i in $(seq 500 1100); do
rpcclient -N -U "" 10.129.14.128 -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done
# You can also use samrdump.py for this purpose
枚举组
- 列出组:
enumdomgroups - 获取组详细信息:
querygroup <0xrid> - 获取组成员:
querygroupmem <0xrid>
枚举别名组
- 列出别名:
enumalsgroups <builtin|domain> - 获取成员:
queryaliasmem builtin|domain <0xrid>
枚举域
- 列出域:
enumdomains - 获取SID:
lsaquery - 域信息:
querydominfo
枚举共享
- 枚举所有可用共享:
netshareenumall - 共享信息:
netsharegetinfo <share>
更多SID
- 通过名称查找SID:
lookupnames <username> - 查找更多SID:
lsaenumsid - RID循环(检查更多SID):
lookupsids <sid>
额外命令
| 命令 | 接口 | 描述 |
|---|---|---|
| queryuser | SAMR | 检索用户信息 |
| querygroup | 检索组信息 | |
| querydominfo | 检索域信息 | |
| enumdomusers | 枚举域用户 | |
| enumdomgroups | 枚举域组 | |
| createdomuser | 创建域用户 | |
| deletedomuser | 删除域用户 | |
| lookupnames | LSARPC | 查找用户名到SIDa值 |
| lookupsids | 查找SID到用户名(RIDb循环) | |
| lsaaddacctrights | 向用户帐户添加权限 | |
| lsaremoveacctrights | 从用户帐户中删除权限 | |
| dsroledominfo | LSARPC-DS | 获取主域信息 |
| dsenumdomtrusts | 枚举AD森林中的受信任域 |
要更好地了解工具samrdump和rpcdump的工作原理,您应该阅读Pentesting MSRPC。
找到最重要的漏洞,以便您可以更快地修复它们。Intruder跟踪您的攻击面,运行主动威胁扫描,发现整个技术堆栈中的问题,从API到Web应用程序和云系统。立即免费试用。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 您在网络安全公司工作吗?您想在HackTricks中看到您的公司广告吗?或者您想获得最新版本的PEASS或下载PDF格式的HackTricks吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品The PEASS Family
- 获取官方PEASS和HackTricks衣物
- 加入💬 Discord群组或电报群组,或在Twitter上关注我🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。