135, 593 - Pentesting MSRPC

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
Kry die amptelike PEASS & HackTricks swag
Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-repos.

Sluit aan by die HackenProof Discord bediener om te kommunikeer met ervare hackers en foutjagters!

Hacking-insigte
Raak betrokke by inhoud wat die opwinding en uitdagings van hacking ondersoek

Hack-nuus in werklikheid
Bly op hoogte van die vinnige wêreld van hacking deur middel van werklike nuus en insigte

Nuutste aankondigings
Bly ingelig met die nuutste foutjagbountes wat begin en belangrike platform-opdaterings

Sluit aan by ons op Discord en begin vandag saamwerk met top hackers!

Basiese Inligting

Die Microsoft Remote Procedure Call (MSRPC) protokol, 'n klient-bedienermodel wat 'n program in staat stel om 'n diens van 'n program op 'n ander rekenaar aan te vra sonder om die spesifieke netwerk te verstaan, is aanvanklik afgelei van oopbron sagteware en later ontwikkel en gekopieer deur Microsoft.

Die RPC-eindpuntkartering kan benader word via TCP- en UDP-poort 135, SMB op TCP 139 en 445 (met 'n nul- of geauthentiseerde sessie), en as 'n webdiens op TCP-poort 593.

135/tcp   open     msrpc         Microsoft Windows RPC

Hoe werk MSRPC?

Geïnitieer deur die kliënttoepassing, behels die MSRPC-proses die oproep van 'n plaaslike stub-prosedure wat dan interaksie hê met die kliënt-runtime-biblioteek om die versoek voor te berei en oor te dra na die bediener. Dit sluit in die omskakeling van parameters na 'n standaard Netwerkdata-voorstelling-formaat. Die keuse van vervoerprotokol word bepaal deur die runtime-biblioteek as die bediener afgeleë is, om te verseker dat die RPC deur die netwerkstapel afgelewer word.

Identifisering van Blootgestelde RPC-dienste

Die blootstelling van RPC-dienste oor TCP, UDP, HTTP en SMB kan bepaal word deur die RPC-lokator-diens en individuele eindpunte te ondervra. Hulpmiddels soos rpcdump fasiliteer die identifisering van unieke RPC-dienste, aangedui deur IFID-waardes, wat diensbesonderhede en kommunikasiebindings openbaar:

D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:<IP>[1028]

Toegang tot die RPC-lokator-diens is moontlik deur spesifieke protokolle: ncacn_ip_tcp en ncadg_ip_udp vir toegang via poort 135, ncacn_np vir SMB-verbindings, en ncacn_http vir webgebaseerde RPC-kommunikasie. Die volgende opdragte illustreer die gebruik van Metasploit-modules om MSRPC-dienste te oudit en mee te skakel, met die klem op poort 135:

use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135

Alle opsies behalwe tcp_dcerpc_auditor is spesifiek ontwerp vir die teiken van MSRPC op poort 135.

Noemenswaardige RPC-koppelvlakke

IFID: 12345778-1234-abcd-ef00-0123456789ab
Genoemde Pyp: \pipe\lsarpc
Beskrywing: LSA-koppelvlak, gebruik om gebruikers op te som.
IFID: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
Genoemde Pyp: \pipe\lsarpc
Beskrywing: LSA Directory Services (DS) koppelvlak, gebruik om domeine en vertrouensverhoudings op te som.
IFID: 12345778-1234-abcd-ef00-0123456789ac
Genoemde Pyp: \pipe\samr
Beskrywing: LSA SAMR-koppelvlak, gebruik om openbare SAM-databasis-elemente (bv. gebruikersname) en gebruikerswagwoorde te kragtig, ongeag rekeningblokkeringbeleid.
IFID: 1ff70682-0a51-30e8-076d-740be8cee98b
Genoemde Pyp: \pipe\atsvc
Beskrywing: Taakbeplanner, gebruik om opdragte op afstand uit te voer.
IFID: 338cd001-2244-31f1-aaaa-900038001003
Genoemde Pyp: \pipe\winreg
Beskrywing: Diensbeheerder, gebruik om toegang tot en wysiging van die stelselregister te verkry.
IFID: 367abb81-9844-35f1-ad32-98f038001003
Genoemde Pyp: \pipe\svcctl
Beskrywing: Diensbeheerder en bedienerdienste, gebruik om dienste op afstand te begin en te stop en opdragte uit te voer.
IFID: 4b324fc8-1670-01d3-1278-5a47bf6ee188
Genoemde Pyp: \pipe\srvsvc
Beskrywing: Diensbeheerder en bedienerdienste, gebruik om dienste op afstand te begin en te stop en opdragte uit te voer.
IFID: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
Genoemde Pyp: \pipe\epmapper
Beskrywing: DCOM-koppelvlak, gebruik vir kragtige wagwoordkrag en inligtingversameling via WM.

Identifisering van IP-adresse

Deur https://github.com/mubix/IOXIDResolver te gebruik, afkomstig van Airbus-navorsing, is dit moontlik om die ServerAlive2-metode binne die IOXIDResolver-koppelvlak te misbruik.

Hierdie metode is gebruik om koppelvlakinligting as IPv6-adres van die HTB-boks APT te verkry. Sien hier vir 0xdf APT-verslag, dit sluit 'n alternatiewe metode in wat rpcmap.py van Impacket met stringbinding gebruik (sien hierbo).

Poort 593

Die rpcdump.exe van rpctools kan met hierdie poort kommunikeer.

## Verwysings

Sluit aan by HackenProof Discord bediener om met ervare hackers en foutvinders te kommunikeer!

Hacking Insights
Raak betrokke by inhoud wat die opwinding en uitdagings van hackering ondersoek

Real-Time Hack News
Bly op hoogte van die vinnige hackeringwêreld deur middel van real-time nuus en insigte

Nuutste Aankondigings
Bly ingelig oor die nuutste foutvindings wat bekendgestel word en noodsaaklike platformopdaterings