rpcclient enumeration

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

Relative Identifiers (RID) 및 Security Identifiers (SID) 개요

**Relative Identifiers (RID)**와 **Security Identifiers (SID)**는 Windows 운영 체제에서 네트워크 도메인 내의 사용자 및 그룹과 같은 객체를 고유하게 식별하고 관리하는 데 중요한 구성 요소입니다.

SIDs는 도메인을 위한 고유 식별자로, 각 도메인이 구별될 수 있도록 보장합니다.
RIDs는 SIDs에 추가되어 해당 도메인 내의 객체를 위한 고유 식별자를 생성합니다. 이 조합은 객체 권한 및 접근 제어의 정확한 추적 및 관리를 가능하게 합니다.

예를 들어, pepe라는 사용자는 도메인의 SID와 그의 특정 RID를 결합한 고유 식별자를 가질 수 있으며, 이는 16진수(0x457) 및 10진수(1111) 형식으로 표현됩니다. 이로 인해 도메인 내에서 pepe에 대한 완전하고 고유한 식별자가 생성됩니다: S-1-5-21-1074507654-1937615267-42093643874-1111.

rpcclient를 통한 열거

Samba의 rpcclient 유틸리티는 이름이 지정된 파이프를 통한 RPC 엔드포인트와 상호 작용하는 데 사용됩니다. SMB 세션이 설정된 후 SAMR, LSARPC 및 LSARPC-DS 인터페이스에 대해 발행할 수 있는 아래 명령어들입니다. 이 과정은 종종 자격 증명을 필요로 합니다.

서버 정보

서버 정보 얻기: srvinfo 명령어를 사용합니다.

사용자 열거

사용자 목록을 나열할 수 있습니다: querydispinfo 및 enumdomusers.
사용자 세부정보: queryuser <0xrid>.
사용자의 그룹: queryusergroups <0xrid>.
사용자의 SID를 검색: lookupnames <username>.
사용자의 별칭: queryuseraliases [builtin|domain] <sid>.

# Users' RIDs-forced
for i in $(seq 500 1100); do
rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done

# samrdump.py can also serve this purpose

그룹 열거

그룹: enumdomgroups.
그룹의 세부정보: querygroup <0xrid>.
그룹의 구성원: querygroupmem <0xrid>.

별칭 그룹 열거

별칭 그룹: enumalsgroups <builtin|domain>.
별칭 그룹의 구성원: queryaliasmem builtin|domain <0xrid>.

도메인 열거

도메인: enumdomains.
도메인의 SID를 검색: lsaquery.
도메인 정보 얻기: querydominfo.

공유 열거

모든 사용 가능한 공유: netshareenumall.
특정 공유에 대한 정보 가져오기: netsharegetinfo <share>.

SID와 관련된 추가 작업

이름으로 SID 검색: lookupnames <username>.
더 많은 SID: lsaenumsid.
더 많은 SID 확인을 위한 RID 순환: lookupsids <sid>.

추가 명령어

명령어

인터페이스

설명

queryuser

SAMR

사용자 정보 검색

querygroup

그룹 정보 검색

querydominfo

도메인 정보 검색

enumdomusers

도메인 사용자 열거

enumdomgroups

도메인 그룹 열거

createdomuser

도메인 사용자 생성

deletedomuser

도메인 사용자 삭제

lookupnames

LSARPC

사용자 이름을 SIDa 값으로 조회

lookupsids

SID를 사용자 이름으로 조회 (RIDb 순환)

lsaaddacctrights

사용자 계정에 권한 추가

lsaremoveacctrights

사용자 계정에서 권한 제거

dsroledominfo

LSARPC-DS

기본 도메인 정보 가져오기

dsenumdomtrusts

AD 포레스트 내의 신뢰된 도메인 열거

도구 samrdump 및 rpcdump 작동 방식을 더 잘 이해하려면 Pentesting MSRPC를 읽어야 합니다.

모바일 보안에 대한 전문성을 심화하세요. 8kSec 아카데미에서 iOS 및 Android 보안을 마스터하고 인증을 받으세요:

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

HackTricks 지원하기

구독 계획 확인하기!
**💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks와 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 팁을 공유하세요.

Previous139,445 - Pentesting SMB Next143,993 - Pentesting IMAP

Last updated 6 days ago

# Users' RIDs-forced for i in $(seq 500 1100); do rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo ""; done # samrdump.py can also serve this purpose