rpcclient enumeration

Relative Identifiers (RID) と Security Identifiers (SID) の概要

Relative Identifiers (RID) と Security Identifiers (SID) は、ネットワークドメイン内のユーザーやグループなどのオブジェクトを一意に識別し管理するための、Windowsオペレーティングシステムの重要なコンポーネントです。

• SID はドメインの一意の識別子として機能し、各ドメインが区別できるようにします。

• RID はSIDに付加され、これらのドメイン内のオブジェクトの一意の識別子を作成します。この組み合わせにより、オブジェクトの権限やアクセス制御の正確な追跡と管理が可能になります。

例えば、pepeという名前のユーザーは、ドメインのSIDと特定のRIDを組み合わせた一意の識別子を持つことがあります。これは16進数（0x457）および10進数（1111）形式で表されます。これにより、ドメイン内のpepeの完全かつ一意の識別子は次のようになります: S-1-5-21-1074507654-1937615267-42093643874-1111。

rpcclientによる列挙

Sambaの**rpcclient**ユーティリティは、名前付きパイプを介してRPCエンドポイントと対話するために使用されます。以下のコマンドは、SMBセッションが確立された後にSAMR、LSARPC、およびLSARPC-DSインターフェースに対して発行できます。これには、通常、資格情報が必要です。

サーバー情報

• サーバー情報を取得するには: srvinfo コマンドを使用します。

ユーザーの列挙

• ユーザーをリストするには: querydispinfo と enumdomusers を使用します。

• ユーザーの詳細を取得するには: queryuser <0xrid> を使用します。

• ユーザーのグループを取得するには: queryusergroups <0xrid> を使用します。

• ユーザーのSIDを取得するには: lookupnames <username> を使用します。

• ユーザーのエイリアスを取得するには: queryuseraliases [builtin|domain] <sid> を使用します。

# Users' RIDs-forced
for i in $(seq 500 1100); do
rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done

# samrdump.py can also serve this purpose

グループの列挙

• グループは: enumdomgroupsで。

• グループの詳細は: querygroup <0xrid>で。

• グループのメンバーは: querygroupmem <0xrid>で。

エイリアスグループの列挙

• エイリアスグループは: enumalsgroups <builtin|domain>で。

• エイリアスグループのメンバーは: queryaliasmem builtin|domain <0xrid>で。

ドメインの列挙

• ドメインは: enumdomainsを使用して。

• ドメインのSIDは取得される: lsaqueryを通じて。

• ドメイン情報は取得される: querydominfoで。

共有の列挙

• すべての利用可能な共有は: netshareenumallで。

• 特定の共有に関する情報は取得される: netsharegetinfo <share>で。

SIDに関する追加操作

• 名前によるSIDは: lookupnames <username>を使用して。

• さらに多くのSIDは: lsaenumsidで。

• より多くのSIDを確認するためのRIDサイクリングは: lookupsids <sid>で行われる。

追加コマンド

ツール samrdump と rpcdump の動作をよりよく理解するためには、Pentesting MSRPCを読むべきです。