rpcclient enumeration

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Relative Identifiers (RID) 및 Security Identifiers (SID) 개요

**Relative Identifiers (RID)**와 **Security Identifiers (SID)**는 Windows 운영 체제에서 네트워크 도메인 내의 사용자 및 그룹과 같은 객체를 고유하게 식별하고 관리하는 데 중요한 구성 요소입니다.

SID는 도메인의 고유 식별자로, 각 도메인이 구별될 수 있도록 합니다.
RID는 SID에 추가되어 해당 도메인 내의 객체에 대한 고유 식별자를 생성합니다. 이 조합은 객체 권한 및 접근 제어를 정확하게 추적하고 관리할 수 있게 합니다.

예를 들어, pepe라는 사용자는 도메인의 SID와 그의 특정 RID를 결합한 고유 식별자를 가질 수 있으며, 이는 16진수(0x457) 및 10진수(1111) 형식으로 표현됩니다. 이로 인해 도메인 내에서 pepe에 대한 완전하고 고유한 식별자가 생성됩니다: S-1-5-21-1074507654-1937615267-42093643874-1111.

rpcclient를 통한 열거

Samba의 rpcclient 유틸리티는 이름이 지정된 파이프를 통한 RPC 엔드포인트와 상호 작용하는 데 사용됩니다. 아래 명령은 SMB 세션이 설정된 후 SAMR, LSARPC 및 LSARPC-DS 인터페이스에 발행할 수 있습니다. 종종 자격 증명이 필요합니다.

서버 정보

서버 정보를 얻으려면: srvinfo 명령을 사용합니다.

사용자 열거

사용자를 나열할 수 있습니다: querydispinfo 및 enumdomusers를 사용합니다.
사용자의 세부정보: queryuser <0xrid>로 확인합니다.
사용자의 그룹: queryusergroups <0xrid>로 확인합니다.
사용자의 SID는: lookupnames <username>을 통해 검색됩니다.
사용자의 별칭: queryuseraliases [builtin|domain] <sid>로 확인합니다.

# Users' RIDs-forced
for i in $(seq 500 1100); do
rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done

# samrdump.py can also serve this purpose

그룹 열거

그룹: enumdomgroups.
그룹의 세부정보: querygroup <0xrid>.
그룹의 구성원: querygroupmem <0xrid>.

별칭 그룹 열거

별칭 그룹: enumalsgroups <builtin|domain>.
별칭 그룹의 구성원: queryaliasmem builtin|domain <0xrid>.

도메인 열거

도메인: enumdomains.
도메인의 SID를 검색: lsaquery.
도메인 정보 얻기: querydominfo.

공유 열거

모든 사용 가능한 공유: netshareenumall.
특정 공유에 대한 정보 가져오기: netsharegetinfo <share>.

SID와 관련된 추가 작업

이름으로 SIDs: lookupnames <username>.
더 많은 SIDs: lsaenumsid.
더 많은 SIDs를 확인하기 위한 RID 순환: lookupsids <sid>.

추가 명령어

명령어

인터페이스

설명

queryuser

SAMR

사용자 정보 검색

querygroup

그룹 정보 검색

querydominfo

도메인 정보 검색

enumdomusers

도메인 사용자 열거

enumdomgroups

도메인 그룹 열거

createdomuser

도메인 사용자 생성

deletedomuser

도메인 사용자 삭제

lookupnames

LSARPC

사용자 이름을 SIDa 값으로 조회

lookupsids

사용자 이름에 대한 SIDs 조회 (RIDb 순환)

lsaaddacctrights

사용자 계정에 권한 추가

lsaremoveacctrights

사용자 계정에서 권한 제거

dsroledominfo

LSARPC-DS

기본 도메인 정보 가져오기

dsenumdomtrusts

AD 포레스트 내의 신뢰된 도메인 열거

도구 samrdump 와 rpcdump 의 작동 방식을 더 잘 이해하기 위해 Pentesting MSRPC를 읽어야 합니다.

HackTricks 지원하기

구독 계획 확인하기!
**💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 팁을 공유하세요.

Previous139,445 - Pentesting SMB Next143,993 - Pentesting IMAP

Last updated 2 months ago

# Users' RIDs-forced for i in $(seq 500 1100); do rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo ""; done # samrdump.py can also serve this purpose