rpcclient enumeration

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Relative Identifiers (RID) と Security Identifiers (SID) の概要

Relative Identifiers (RID) と Security Identifiers (SID) は、ネットワークドメイン内のユーザーやグループなどのオブジェクトを一意に識別し管理するための、Windowsオペレーティングシステムの重要なコンポーネントです。

SID はドメインの一意の識別子として機能し、各ドメインが区別できるようにします。
RID はSIDに付加され、これらのドメイン内のオブジェクトの一意の識別子を作成します。この組み合わせにより、オブジェクトの権限やアクセス制御の正確な追跡と管理が可能になります。

例えば、pepeという名前のユーザーは、ドメインのSIDと特定のRIDを組み合わせた一意の識別子を持つことがあります。これは16進数（0x457）および10進数（1111）形式で表されます。これにより、ドメイン内のpepeの完全かつ一意の識別子は次のようになります: S-1-5-21-1074507654-1937615267-42093643874-1111。

rpcclientによる列挙

Sambaの**rpcclient**ユーティリティは、名前付きパイプを介してRPCエンドポイントと対話するために使用されます。以下のコマンドは、SMBセッションが確立された後にSAMR、LSARPC、およびLSARPC-DSインターフェースに対して発行できます。これには、通常、資格情報が必要です。

サーバー情報

サーバー情報を取得するには: srvinfo コマンドを使用します。

ユーザーの列挙

ユーザーをリストするには: querydispinfo と enumdomusers を使用します。
ユーザーの詳細を取得するには: queryuser <0xrid> を使用します。
ユーザーのグループを取得するには: queryusergroups <0xrid> を使用します。
ユーザーのSIDを取得するには: lookupnames <username> を使用します。
ユーザーのエイリアスを取得するには: queryuseraliases [builtin|domain] <sid> を使用します。

# Users' RIDs-forced
for i in $(seq 500 1100); do
rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done

# samrdump.py can also serve this purpose

グループの列挙

グループは: enumdomgroupsで。
グループの詳細は: querygroup <0xrid>で。
グループのメンバーは: querygroupmem <0xrid>で。

エイリアスグループの列挙

エイリアスグループは: enumalsgroups <builtin|domain>で。
エイリアスグループのメンバーは: queryaliasmem builtin|domain <0xrid>で。

ドメインの列挙

ドメインは: enumdomainsを使用して。
ドメインのSIDは取得される: lsaqueryを通じて。
ドメイン情報は取得される: querydominfoで。

共有の列挙

すべての利用可能な共有は: netshareenumallで。
特定の共有に関する情報は取得される: netsharegetinfo <share>で。

SIDに関する追加操作

名前によるSIDは: lookupnames <username>を使用して。
さらに多くのSIDは: lsaenumsidで。
より多くのSIDを確認するためのRIDサイクリングは: lookupsids <sid>で行われる。

追加コマンド

コマンド

インターフェース

説明

queryuser

SAMR

ユーザー情報を取得

querygroup

グループ情報を取得

querydominfo

ドメイン情報を取得

enumdomusers

ドメインユーザーを列挙

enumdomgroups

ドメイングループを列挙

createdomuser

ドメインユーザーを作成

deletedomuser

ドメインユーザーを削除

lookupnames

LSARPC

ユーザー名をSIDa値に照会

lookupsids

SIDをユーザー名に照会 (RIDbサイクリング)

lsaaddacctrights

ユーザーアカウントに権利を追加

lsaremoveacctrights

ユーザーアカウントから権利を削除

dsroledominfo

LSARPC-DS

プライマリドメイン情報を取得

dsenumdomtrusts

ADフォレスト内の信頼されたドメインを列挙

ツール samrdump と rpcdump の動作をよりよく理解するためには、Pentesting MSRPCを読むべきです。

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

Previous139,445 - Pentesting SMB Next143,993 - Pentesting IMAP

Last updated 2 months ago

# Users' RIDs-forced for i in $(seq 500 1100); do rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo ""; done # samrdump.py can also serve this purpose