hacktricks/network-services-pentesting/135-pentesting-msrpc.md

13 KiB

135, 593 - Pentesting MSRPC

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!

Hacking Insights
Engage with content that delves into the thrill and challenges of hacking

Real-Time Hack News
Keep up-to-date with fast-paced hacking world through real-time news and insights

Latest Announcements
Stay informed with the newest bug bounties launching and crucial platform updates

Join us on Discord and start collaborating with top hackers today!

Basic Information

Microsoft Remote Procedure Call (MSRPC) рдкреНрд░реЛрдЯреЛрдХреЙрд▓, рдПрдХ рдХреНрд▓рд╛рдЗрдВрдЯ-рд╕рд░рд╡рд░ рдореЙрдбрд▓ рд╣реИ рдЬреЛ рдПрдХ рдкреНрд░реЛрдЧреНрд░рд╛рдо рдХреЛ рдХрд┐рд╕реА рдЕрдиреНрдп рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рд╕реНрдерд┐рдд рдкреНрд░реЛрдЧреНрд░рд╛рдо рд╕реЗ рд╕реЗрд╡рд╛ рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ рдмрд┐рдирд╛ рдиреЗрдЯрд╡рд░реНрдХ рдХреА рд╡рд┐рд╢рд┐рд╖реНрдЯрддрд╛рдУрдВ рдХреЛ рд╕рдордЭреЗ, рдпрд╣ рдкреНрд░рд╛рд░рдВрдн рдореЗрдВ рдУрдкрди-рд╕реЛрд░реНрд╕ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рд╕реЗ рдирд┐рдХрд▓рд╛ рдерд╛ рдФрд░ рдмрд╛рдж рдореЗрдВ Microsoft рджреНрд╡рд╛рд░рд╛ рд╡рд┐рдХрд╕рд┐рдд рдФрд░ рдХреЙрдкреАрд░рд╛рдЗрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ред

RPC рдПрдВрдбрдкреЙрдЗрдВрдЯ рдореИрдкрд░ рдХреЛ TCP рдФрд░ UDP рдкреЛрд░реНрдЯ 135, SMB рдкрд░ TCP 139 рдФрд░ 445 (рдПрдХ рд╢реВрдиреНрдп рдпрд╛ рдкреНрд░рдорд╛рдгрд┐рдд рд╕рддреНрд░ рдХреЗ рд╕рд╛рде) рдФрд░ TCP рдкреЛрд░реНрдЯ 593 рдкрд░ рдПрдХ рд╡реЗрдм рд╕реЗрд╡рд╛ рдХреЗ рд░реВрдк рдореЗрдВ рдПрдХреНрд╕реЗрд╕ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

135/tcp   open     msrpc         Microsoft Windows RPC

MSRPC рдХреИрд╕реЗ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ?

рдХреНрд▓рд╛рдЗрдВрдЯ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рджреНрд╡рд╛рд░рд╛ рд╢реБрд░реВ рдХрд┐рдпрд╛ рдЧрдпрд╛, MSRPC рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдПрдХ рд╕реНрдерд╛рдиреАрдп рд╕реНрдЯрдм рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ рдХреЙрд▓ рдХрд░рдиреЗ рдореЗрдВ рд╢рд╛рдорд┐рд▓ рд╣реЛрддреА рд╣реИ рдЬреЛ рдлрд┐рд░ рдХреНрд▓рд╛рдЗрдВрдЯ рд░рдирдЯрд╛рдЗрдо рд▓рд╛рдЗрдмреНрд░реЗрд░реА рдХреЗ рд╕рд╛рде рдЗрдВрдЯрд░реИрдХреНрдЯ рдХрд░рддреА рд╣реИ рддрд╛рдХрд┐ рд╕рд░реНрд╡рд░ рдХреЛ рдЕрдиреБрд░реЛрдз рддреИрдпрд╛рд░ рдФрд░ рднреЗрдЬрд╛ рдЬрд╛ рд╕рдХреЗред рдЗрд╕рдореЗрдВ рдкреИрд░рд╛рдореАрдЯрд░ рдХреЛ рдПрдХ рдорд╛рдирдХ рдиреЗрдЯрд╡рд░реНрдХ рдбреЗрдЯрд╛ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдкреНрд░рд╛рд░реВрдк рдореЗрдВ рдкрд░рд┐рд╡рд░реНрддрд┐рдд рдХрд░рдирд╛ рд╢рд╛рдорд┐рд▓ рд╣реИред рдпрджрд┐ рд╕рд░реНрд╡рд░ рджреВрд░рд╕реНрде рд╣реИ, рддреЛ рдкрд░рд┐рд╡рд╣рди рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХрд╛ рдЪрдпрди рд░рдирдЯрд╛рдЗрдо рд▓рд╛рдЗрдмреНрд░реЗрд░реА рджреНрд╡рд╛рд░рд╛ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рддреЗ рд╣реБрдП рдХрд┐ RPC рдиреЗрдЯрд╡рд░реНрдХ рд╕реНрдЯреИрдХ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╡рд┐рддрд░рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред

https://0xffsec.com/handbook/images/msrpc.png

рдкреНрд░рджрд░реНрд╢рд┐рдд RPC рд╕реЗрд╡рд╛рдУрдВ рдХреА рдкрд╣рдЪрд╛рди рдХрд░рдирд╛

TCP, UDP, HTTP, рдФрд░ SMB рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ RPC рд╕реЗрд╡рд╛рдУрдВ рдХрд╛ рдкреНрд░рджрд░реНрд╢рди RPC рд▓реЛрдХреЗрдЯрд░ рд╕реЗрд╡рд╛ рдФрд░ рд╡реНрдпрдХреНрддрд┐рдЧрдд рдПрдВрдбрдкреЙрдЗрдВрдЯреНрд╕ рдХреЛ рдХреНрд╡реЗрд░реА рдХрд░рдХреЗ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред rpcdump рдЬреИрд╕реЗ рдЙрдкрдХрд░рдг рдЕрджреНрд╡рд┐рддреАрдп RPC рд╕реЗрд╡рд╛рдУрдВ рдХреА рдкрд╣рдЪрд╛рди рдХрд░рдиреЗ рдореЗрдВ рдорджрдж рдХрд░рддреЗ рд╣реИрдВ, рдЬрд┐рдиреНрд╣реЗрдВ IFID рдорд╛рдиреЛрдВ рджреНрд╡рд╛рд░рд╛ рджрд░реНрд╢рд╛рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рд╕реЗрд╡рд╛ рд╡рд┐рд╡рд░рдг рдФрд░ рд╕рдВрдЪрд╛рд░ рдмрд╛рдЗрдВрдбрд┐рдВрдЧ рдХреЛ рдкреНрд░рдХрдЯ рдХрд░рддреЗ рд╣реИрдВ:

D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:<IP>[1028]

RPC рд▓реЛрдХреЗрдЯрд░ рд╕реЗрд╡рд╛ рддрдХ рдкрд╣реБрдБрдЪ рд╡рд┐рд╢реЗрд╖ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╕рдХреНрд╖рдо рд╣реИ: ncacn_ip_tcp рдФрд░ ncadg_ip_udp рдкреЛрд░реНрдЯ 135 рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкрд╣реБрдБрдЪ рдХреЗ рд▓рд┐рдП, SMB рдХрдиреЗрдХреНрд╢рдиреЛрдВ рдХреЗ рд▓рд┐рдП ncacn_np, рдФрд░ рд╡реЗрдм-рдЖрдзрд╛рд░рд┐рдд RPC рд╕рдВрдЪрд╛рд░ рдХреЗ рд▓рд┐рдП ncacn_httpред рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдХрдорд╛рдВрдб Metasploit рдореЙрдбреНрдпреВрд▓ рдХреЗ рдЙрдкрдпреЛрдЧ рдХреЛ рджрд░реНрд╢рд╛рддреЗ рд╣реИрдВ рддрд╛рдХрд┐ MSRPC рд╕реЗрд╡рд╛рдУрдВ рдХрд╛ рдСрдбрд┐рдЯ рдФрд░ рдЗрдВрдЯрд░реИрдХреНрдЯ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХреЗ, рдореБрдЦреНрдп рд░реВрдк рд╕реЗ рдкреЛрд░реНрдЯ 135 рдкрд░ рдзреНрдпрд╛рди рдХреЗрдВрджреНрд░рд┐рдд рдХрд░рддреЗ рд╣реБрдП:

use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135

All options except tcp_dcerpc_auditor are specifically designed for targeting MSRPC on port 135.

Notable RPC interfaces

  • IFID: 12345778-1234-abcd-ef00-0123456789ab
  • Named Pipe: \pipe\lsarpc
  • Description: LSA рдЗрдВрдЯрд░рдлреЗрд╕, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреА рд╕реВрдЪреА рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
  • IFID: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
  • Named Pipe: \pipe\lsarpc
  • Description: LSA рдбрд╛рдпрд░реЗрдХреНрдЯрд░реА рд╕реЗрд╡рд╛рдПрдБ (DS) рдЗрдВрдЯрд░рдлреЗрд╕, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдбреЛрдореЗрди рдФрд░ рдЯреНрд░рд╕реНрдЯ рд╕рдВрдмрдВрдзреЛрдВ рдХреА рд╕реВрдЪреА рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
  • IFID: 12345778-1234-abcd-ef00-0123456789ac
  • Named Pipe: \pipe\samr
  • Description: LSA SAMR рдЗрдВрдЯрд░рдлреЗрд╕, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ SAM рдбреЗрдЯрд╛рдмреЗрд╕ рддрддреНрд╡реЛрдВ (рдЬреИрд╕реЗ, рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо) рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдФрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдкрд╛рд╕рд╡рд░реНрдб рдХреЛ рдмреНрд░реВрдЯ-рдлреЛрд░реНрд╕ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЪрд╛рд╣реЗ рдЦрд╛рддрд╛ рд▓реЙрдХрдЖрдЙрдЯ рдиреАрддрд┐ рдХреБрдЫ рднреА рд╣реЛред
  • IFID: 1ff70682-0a51-30e8-076d-740be8cee98b
  • Named Pipe: \pipe\atsvc
  • Description: рдХрд╛рд░реНрдп рд╢реЗрдбреНрдпреВрд▓рд░, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рджреВрд░рд╕реНрде рд░реВрдк рд╕реЗ рдХрдорд╛рдВрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
  • IFID: 338cd001-2244-31f1-aaaa-900038001003
  • Named Pipe: \pipe\winreg
  • Description: рд░рд┐рдореЛрдЯ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рд╕реЗрд╡рд╛, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рд╕рд┐рд╕реНрдЯрдо рд░рдЬрд┐рд╕реНрдЯреНрд░реА рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдФрд░ рдЙрд╕реЗ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
  • IFID: 367abb81-9844-35f1-ad32-98f038001003
  • Named Pipe: \pipe\svcctl
  • Description: рд╕реЗрд╡рд╛ рдирд┐рдпрдВрддреНрд░рдг рдкреНрд░рдмрдВрдзрдХ рдФрд░ рд╕рд░реНрд╡рд░ рд╕реЗрд╡рд╛рдПрдБ, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рджреВрд░рд╕реНрде рд░реВрдк рд╕реЗ рд╕реЗрд╡рд╛рдУрдВ рдХреЛ рдкреНрд░рд╛рд░рдВрдн рдФрд░ рд░реЛрдХрдиреЗ рдФрд░ рдХрдорд╛рдВрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
  • IFID: 4b324fc8-1670-01d3-1278-5a47bf6ee188
  • Named Pipe: \pipe\srvsvc
  • Description: рд╕реЗрд╡рд╛ рдирд┐рдпрдВрддреНрд░рдг рдкреНрд░рдмрдВрдзрдХ рдФрд░ рд╕рд░реНрд╡рд░ рд╕реЗрд╡рд╛рдПрдБ, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рджреВрд░рд╕реНрде рд░реВрдк рд╕реЗ рд╕реЗрд╡рд╛рдУрдВ рдХреЛ рдкреНрд░рд╛рд░рдВрдн рдФрд░ рд░реЛрдХрдиреЗ рдФрд░ рдХрдорд╛рдВрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
  • IFID: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
  • Named Pipe: \pipe\epmapper
  • Description: DCOM рдЗрдВрдЯрд░рдлреЗрд╕, рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдмреНрд░реВрдЯ-рдлреЛрд░реНрд╕ рдкрд╛рд╕рд╡рд░реНрдб рдЧреНрд░рд╛рдЗрдВрдбрд┐рдВрдЧ рдФрд░ WM рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЬрд╛рдирдХрд╛рд░реА рдПрдХрддреНрд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

Identifying IP addresses

Using https://github.com/mubix/IOXIDResolver, comes from Airbus research is possible to abuse the ServerAlive2 method inside the IOXIDResolver interface.

This method has been used to get interface information as IPv6 address from the HTB box APT. See here for 0xdf APT writeup, it includes an alternative method using rpcmap.py from Impacket with stringbinding (see above).

Executing a RCE with valid credentials

It is possible to execute remote code on a machine, if the credentials of a valid user are available using dcomexec.py from impacket framework.

Remember to try with the different objects available

  • ShellWindows
  • ShellBrowserWindow
  • MMC20

Port 593

The rpcdump.exe from rpctools can interact with this port.

References

Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!

Hacking Insights
Engage with content that delves into the thrill and challenges of hacking

Real-Time Hack News
Keep up-to-date with fast-paced hacking world through real-time news and insights

Latest Announcements
Stay informed with the newest bug bounties launching and crucial platform updates

Join us on Discord and start collaborating with top hackers today!

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}