135, 593 - Pentesting MSRPC
Pridružite se HackenProof Discord serveru kako biste komunicirali sa iskusnim hakerima i lovcima na bagove!
Hakerski Uvidi Uključite se u sadržaj koji istražuje uzbuđenje i izazove hakovanja
Vesti o Hakovanju u Realnom Vremenu Budite u toku sa brzim svetom hakovanja kroz vesti i uvide u realnom vremenu
Poslednje Najave Budite informisani o najnovijim nagradama za pronalaženje bagova i bitnim ažuriranjima platformi
Pridružite nam se na Discord-u i počnite da sarađujete sa vrhunskim hakerima danas!
Osnovne Informacije
Microsoft Remote Procedure Call (MSRPC) protokol, model klijent-server koji omogućava programu da zatraži uslugu od programa smeštenog na drugom računaru bez razumevanja specifičnosti mreže, prvobitno je izveden iz softvera otvorenog koda, a kasnije razvijen i zaštićen autorskim pravima od strane Microsoft-a.
RPC endpoint mapper može se pristupiti putem TCP i UDP porta 135, SMB na TCP portovima 139 i 445 (sa null ili autentifikovanom sesijom), i kao web servis na TCP portu 593.
Kako radi MSRPC?
Pokrenut od strane klijentske aplikacije, MSRPC proces uključuje pozivanje lokalne stub procedure koja zatim interaguje sa klijentskom runtime bibliotekom kako bi pripremila i prenela zahtev serveru. Ovo uključuje konvertovanje parametara u standardni format Mrežne Reprezentacije Podataka. Izbor transportnog protokola određuje se pomoću runtime biblioteke ako je server udaljen, obezbeđujući da se RPC dostavi kroz mrežni sloj.
Identifikacija Izloženih RPC Servisa
Izloženost RPC servisa preko TCP, UDP, HTTP i SMB može se odrediti upitom servisa za lociranje RPC-a i pojedinačnih endpointova. Alati poput rpcdump olakšavaju identifikaciju jedinstvenih RPC servisa, označenih vrednostima IFID, otkrivajući detalje servisa i komunikacione veze:
Pristup službi RPC lokatora omogućen je putem određenih protokola: ncacn_ip_tcp i ncadg_ip_udp za pristup preko porta 135, ncacn_np za SMB veze, i ncacn_http za komunikaciju putem web baziranog RPC-a. Sledeće komande ilustruju korišćenje Metasploit modula za proveru i interakciju sa MSRPC uslugama, sa primarnim fokusom na portu 135:
Sve opcije osim tcp_dcerpc_auditor
su posebno dizajnirane za ciljanje MSRPC na portu 135.
Značajni RPC interfejsi
IFID: 12345778-1234-abcd-ef00-0123456789ab
Imenovana cev:
\pipe\lsarpc
Opis: LSA interfejs, koristi se za enumeraciju korisnika.
IFID: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
Imenovana cev:
\pipe\lsarpc
Opis: LSA Directory Services (DS) interfejs, koristi se za enumeraciju domena i poverenja.
IFID: 12345778-1234-abcd-ef00-0123456789ac
Imenovana cev:
\pipe\samr
Opis: LSA SAMR interfejs, koristi se za pristup javnim elementima baze podataka SAM (npr. korisnička imena) i grubu silu lozinki bez obzira na politiku zaključavanja naloga.
IFID: 1ff70682-0a51-30e8-076d-740be8cee98b
Imenovana cev:
\pipe\atsvc
Opis: Planer zadataka, koristi se za daljinsko izvršavanje komandi.
IFID: 338cd001-2244-31f1-aaaa-900038001003
Imenovana cev:
\pipe\winreg
Opis: Usluga daljinskog registra, koristi se za pristupanje i modifikaciju sistema registra.
IFID: 367abb81-9844-35f1-ad32-98f038001003
Imenovana cev:
\pipe\svcctl
Opis: Upravljač servisima i uslugama servera, koristi se za daljinsko pokretanje i zaustavljanje servisa i izvršavanje komandi.
IFID: 4b324fc8-1670-01d3-1278-5a47bf6ee188
Imenovana cev:
\pipe\srvsvc
Opis: Upravljač servisima i uslugama servera, koristi se za daljinsko pokretanje i zaustavljanje servisa i izvršavanje komandi.
IFID: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
Imenovana cev:
\pipe\epmapper
Opis: DCOM interfejs, koristi se za grubu silu lozinki i prikupljanje informacija putem WM.
Identifikacija IP adresa
Korišćenjem https://github.com/mubix/IOXIDResolver, koji potiče iz Airbus istraživanja, moguće je zloupotrebiti ServerAlive2 metod unutar IOXIDResolver interfejsa.
Ovaj metod je korišćen za dobijanje informacija o interfejsu kao IPv6 adresa sa HTB boksa APT. Pogledajte ovde za 0xdf APT writeup, koji uključuje alternativni metod korišćenjem rpcmap.py iz Impacket sa stringbinding (vidi gore).
Izvršavanje RCE sa validnim pristupnim podacima
Moguće je izvršiti udaljeni kod na mašini, ako su pristupni podaci validnog korisnika dostupni korišćenjem dcomexec.py iz impacket framework-a.
Zapamtite da pokušate sa različitim dostupnim objektima
ShellWindows
ShellBrowserWindow
MMC20
Port 593
rpcdump.exe sa rpctools može komunicirati sa ovim portom.
Reference
Pridružite se HackenProof Discord serveru kako biste komunicirali sa iskusnim hakerima i lovcima na bagove!
Hakerski uvidi Uključite se u sadržaj koji istražuje uzbuđenje i izazove hakovanja
Vesti o hakovanju u realnom vremenu Budite u toku sa brzim svetom hakovanja kroz vesti i uvide u realnom vremenu
Najnovije najave Budite informisani o najnovijim nagradama za pronalaženje bagova i važnim ažuriranjima platformi
Pridružite nam se na Discord-u i počnite da sarađujete sa vrhunskim hakerima danas!
Last updated