111/TCP/UDP - Pentesting Portmapper

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Websec | Uw Cybersecurity Specialist

Grundinformationen

Portmapper ist ein Dienst, der verwendet wird, um Netzwerkdienstports auf RPC (Remote Procedure Call) Programmnummmer zuzuordnen. Er fungiert als kritische Komponente in Unix-basierten Systemen und erleichtert den Austausch von Informationen zwischen diesen Systemen. Der mit Portmapper verbundene Port wird häufig von Angreifern gescannt, da er wertvolle Informationen preisgeben kann. Diese Informationen umfassen den Typ des Unix-Betriebssystems (OS), das läuft, und Details zu den auf dem System verfügbaren Diensten. Darüber hinaus wird Portmapper häufig in Verbindung mit NFS (Network File System), NIS (Network Information Service) und anderen RPC-basierten Diensten verwendet, um Netzwerkdienste effektiv zu verwalten.

Standardport: 111/TCP/UDP, 32771 in Oracle Solaris

PORT    STATE SERVICE
111/tcp open  rpcbind

Aufzählung

rpcinfo irked.htb
nmap -sSUC -p111 192.168.10.1

Manchmal gibt es keine Informationen, in anderen Fällen erhalten Sie etwas wie dies:

Shodan

port:111 portmap

RPCBind + NFS

Wenn Sie den Dienst NFS finden, können Sie wahrscheinlich Dateien auflisten und herunterladen (und vielleicht hochladen):

Lesen Sie 2049 - Pentesting NFS service, um mehr darüber zu erfahren, wie Sie dieses Protokoll testen können.

NIS

Die Erkundung von NIS-Schwachstellen umfasst einen zweistufigen Prozess, der mit der Identifizierung des Dienstes ypbind beginnt. Der Grundstein dieser Erkundung ist die Enthüllung des NIS-Domainnamens, ohne den der Fortschritt zum Stillstand kommt.

Die Erkundungsreise beginnt mit der Installation der erforderlichen Pakete (apt-get install nis). Der nächste Schritt erfordert die Verwendung von ypwhich, um die Anwesenheit des NIS-Servers zu bestätigen, indem er mit dem Domainnamen und der Server-IP angepingt wird, wobei sichergestellt wird, dass diese Elemente aus Sicherheitsgründen anonymisiert sind.

Der letzte und entscheidende Schritt umfasst den Befehl ypcat, um sensible Daten, insbesondere verschlüsselte Benutzerpasswörter, zu extrahieren. Diese Hashes, die mit Tools wie John the Ripper geknackt werden, geben Einblicke in den Systemzugang und die Berechtigungen.

# Install NIS tools
apt-get install nis
# Ping the NIS server to confirm its presence
ypwhich -d <domain-name> <server-ip>
# Extract user credentials
ypcat –d <domain-name> –h <server-ip> passwd.byname

NIF-Dateien

Master-Datei

Karte(n)

Notizen

/etc/hosts

hosts.byname, hosts.byaddr

Enthält Hostnamen und IP-Details

/etc/passwd

passwd.byname, passwd.byuid

NIS-Benutzerpasswortdatei

/etc/group

group.byname, group.bygid

NIS-Gruppendatei

/usr/lib/aliases

mail.aliases

Details zu Mail-Aliasen

RPC-Benutzer

Wenn Sie den rusersd-Dienst so aufgeführt finden:

Könnten Sie die Benutzer der Box auflisten. Um zu erfahren, wie, lesen Sie 1026 - Pentesting Rsusersd.

Umgehung des gefilterten Portmapper-Ports

Bei der Durchführung eines nmap-Scans und der Entdeckung offener NFS-Ports, bei denen Port 111 gefiltert wird, ist eine direkte Ausnutzung dieser Ports nicht möglich. Durch Simulation eines Portmapper-Dienstes lokal und Erstellung eines Tunnels von Ihrem Rechner zum Ziel wird jedoch eine Ausnutzung mit Standardwerkzeugen möglich. Diese Technik ermöglicht es, den gefilterten Zustand von Port 111 zu umgehen und somit Zugriff auf NFS-Dienste zu erhalten. Für detaillierte Anleitungen zu dieser Methode verweisen Sie auf den Artikel unter diesem Link.