rpcclient enumeration

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:

相対識別子 (RID) とセキュリティ識別子 (SID) の概要

相対識別子 (RID) と セキュリティ識別子 (SID) は、ネットワークドメイン内のオブジェクト（ユーザーやグループなど）を一意に識別し管理するためのWindowsオペレーティングシステムの重要なコンポーネントです。

SID はドメインの一意の識別子として機能し、各ドメインが区別できるようにします。
RID はSIDに追加され、これらのドメイン内のオブジェクトの一意の識別子を作成します。この組み合わせにより、オブジェクトの権限とアクセス制御の正確な追跡と管理が可能になります。

例えば、pepeという名前のユーザーは、ドメインのSIDと彼の特定のRIDを組み合わせた一意の識別子を持つ可能性があり、16進数（0x457）および10進数（1111）形式で表されます。これにより、ドメイン内のpepeの完全かつ一意の識別子は次のようになります: S-1-5-21-1074507654-1937615267-42093643874-1111。

rpcclientによる列挙

Sambaの**rpcclient**ユーティリティは、名前付きパイプを介してRPCエンドポイントと対話するために使用されます。以下のコマンドは、SMBセッションが確立された後にSAMR、LSARPC、およびLSARPC-DSインターフェースに対して発行できます。通常、資格情報が必要です。

サーバー情報

サーバー情報を取得するには: srvinfo コマンドを使用します。

ユーザーの列挙

ユーザーをリストするには: querydispinfo と enumdomusers を使用します。
ユーザーの詳細を取得するには: queryuser <0xrid> を使用します。
ユーザーのグループを取得するには: queryusergroups <0xrid> を使用します。
ユーザーのSIDを取得するには: lookupnames <username> を使用します。
ユーザーのエイリアスを取得するには: queryuseraliases [builtin|domain] <sid> を使用します。

# Users' RIDs-forced
for i in $(seq 500 1100); do
rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done

# samrdump.py can also serve this purpose

グループの列挙

グループ: enumdomgroups。
グループの詳細: querygroup <0xrid>。
グループのメンバー: querygroupmem <0xrid>。

エイリアスグループの列挙

エイリアスグループ: enumalsgroups <builtin|domain>。
エイリアスグループのメンバー: queryaliasmem builtin|domain <0xrid>。

ドメインの列挙

ドメイン: enumdomains。
ドメインのSIDを取得: lsaquery。
ドメイン情報を取得: querydominfo。

共有の列挙

すべての利用可能な共有: netshareenumall。
特定の共有に関する情報を取得: netsharegetinfo <share>。

SIDに関する追加操作

名前によるSID: lookupnames <username>。
さらに多くのSID: lsaenumsid。
より多くのSIDを確認するためのRIDサイクリング: lookupsids <sid>。

追加コマンド

コマンド

インターフェース

説明

queryuser

SAMR

ユーザー情報を取得

querygroup

グループ情報を取得

querydominfo

ドメイン情報を取得

enumdomusers

ドメインユーザーを列挙

enumdomgroups

ドメイングループを列挙

createdomuser

ドメインユーザーを作成

deletedomuser

ドメインユーザーを削除

lookupnames

LSARPC

lookupsids

lsaaddacctrights

ユーザーアカウントに権利を追加

lsaremoveacctrights

ユーザーアカウントから権利を削除

dsroledominfo

LSARPC-DS

プライマリドメイン情報を取得

dsenumdomtrusts

ADフォレスト内の信頼されたドメインを列挙

ツール samrdump と rpcdump の動作をよりよく理解するには、Pentesting MSRPCを読むべきです。

モバイルセキュリティの専門知識を深めるために、8kSecアカデミーをご利用ください。自己ペースのコースを通じてiOSとAndroidのセキュリティをマスターし、認定を取得しましょう：

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

Previous139,445 - Pentesting SMB Next143,993 - Pentesting IMAP

Last updated 1 day ago

# Users' RIDs-forced for i in $(seq 500 1100); do rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo ""; done # samrdump.py can also serve this purpose