135, 593 - Pentesting MSRPC
Приєднуйтесь до HackenProof Discord, щоб спілкуватися з досвідченими хакерами та мисливцями за вразливостями!
Інсайти щодо Хакінгу Взаємодійте з контентом, який досліджує захоплення та виклики хакінгу
Новини про Хакінг у Реальному Часі Будьте в курсі швидкозмінного світу хакінгу завдяки новинам та інсайтам у реальному часі
Останні Оголошення Будьте в курсі найновіших запусків баг-баунті та важливих оновлень платформи
Приєднуйтесь до нас на Discord та почніть співпрацювати з найкращими хакерами вже сьогодні!
Основна Інформація
Протокол віддаленого виклику процедур Microsoft (MSRPC), модель клієнт-сервер, яка дозволяє програмі запитувати послугу від програми, розташованої на іншому комп'ютері, не розуміючи конкрети мережі, спочатку був похідним від відкритого програмного забезпечення, а пізніше був розроблений та захищений авторським правом компанією Microsoft.
Мапер кінцевих точок RPC можна отримати через TCP та UDP порт 135, SMB на TCP 139 та 445 (з нульовою або аутентифікованою сесією) та як веб-сервіс на TCP порті 593.
Як працює MSRPC?
Ініційований клієнтським додатком, процес MSRPC включає виклик локальної процедури-заглушки, яка потім взаємодіє з бібліотекою часу виконання клієнта для підготовки та передачі запиту на сервер. Це включає конвертацію параметрів у стандартний формат представлення даних мережі. Вибір транспортного протоколу визначається бібліотекою часу виконання, якщо сервер є віддаленим, забезпечуючи доставку RPC через мережевий стек.
Визначення відкритих служб RPC
Викриття служб RPC через TCP, UDP, HTTP та SMB може бути визначено шляхом запиту до служби локатора RPC та окремих кінцевих точок. Інструменти, такі як rpcdump, сприяють ідентифікації унікальних служб RPC, позначених значеннями IFID, розкриваючи деталі служби та зв'язки зв'язку:
Доступ до служби локатора RPC активовано через конкретні протоколи: ncacn_ip_tcp та ncadg_ip_udp для доступу через порт 135, ncacn_np для підключень SMB та ncacn_http для веб-заснованого взаємодії RPC. Наведені команди ілюструють використання модулів Metasploit для аудиту та взаємодії зі службами MSRPC, зокрема з фокусом на порт 135:
Усі опції, крім tcp_dcerpc_auditor
, спеціально розроблені для атаки на MSRPC на порту 135.
Відомі інтерфейси RPC
IFID: 12345778-1234-abcd-ef00-0123456789ab
Іменована канал:
\pipe\lsarpc
Опис: Інтерфейс LSA, використовується для переліку користувачів.
IFID: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
Іменована канал:
\pipe\lsarpc
Опис: Інтерфейс служб каталогів LSA (DS), використовується для переліку доменів та довіри.
IFID: 12345778-1234-abcd-ef00-0123456789ac
Іменована канал:
\pipe\samr
Опис: Інтерфейс LSA SAMR, використовується для доступу до елементів загальної бази даних SAM (наприклад, імен користувачів) та перебору паролів користувачів незалежно від політики блокування облікового запису.
IFID: 1ff70682-0a51-30e8-076d-740be8cee98b
Іменована канал:
\pipe\atsvc
Опис: Планувальник завдань, використовується для віддаленого виконання команд.
IFID: 338cd001-2244-31f1-aaaa-900038001003
Іменована канал:
\pipe\winreg
Опис: Віддалена служба реєстру, використовується для доступу та зміни системного реєстру.
IFID: 367abb81-9844-35f1-ad32-98f038001003
Іменована канал:
\pipe\svcctl
Опис: Менеджер керування службами та служби сервера, використовується для віддаленого запуску та зупинки служб та виконання команд.
IFID: 4b324fc8-1670-01d3-1278-5a47bf6ee188
Іменована канал:
\pipe\srvsvc
Опис: Менеджер керування службами та служби сервера, використовується для віддаленого запуску та зупинки служб та виконання команд.
IFID: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
Іменована канал:
\pipe\epmapper
Опис: Інтерфейс DCOM, використовується для перебору паролів та збору інформації через WM.
Визначення IP-адрес
Використовуючи https://github.com/mubix/IOXIDResolver, розроблене дослідження Airbus можна зловживати методом ServerAlive2 всередині інтерфейсу IOXIDResolver.
Цей метод використовувався для отримання інформації про інтерфейс як IPv6 адресу з HTB box APT. Див. тут для огляду APT від 0xdf, включає альтернативний метод, використовуючи rpcmap.py з Impacket з stringbinding (див. вище).
Виконання RCE з дійсними обліковими даними
Можливо виконати віддалений код на машині, якщо доступні облікові дані дійсного користувача, використовуючи dcomexec.py з фреймворку impacket.
Не забудьте спробувати з різними доступними об'єктами
ShellWindows
ShellBrowserWindow
MMC20
Порт 593
rpcdump.exe з rpctools може взаємодіяти з цим портом.
Посилання
Приєднуйтесь до HackenProof Discord, щоб спілкуватися з досвідченими хакерами та мисливцями за багами!
Інсайти щодо взлому Взаємодійте з контентом, який досліджує захоплення та виклики взлому
Новини про взломи в реальному часі Будьте в курсі швидкозмінного світу взлому завдяки новинам та інсайтам в реальному часі
Останні оголошення Будьте в курсі нових баг-баунті, які запускаються, та важливих оновлень платформи
Приєднуйтесь до нас на Discord та почніть співпрацювати з топовими хакерами вже сьогодні!
Last updated