Приєднуйтесь до HackenProof Discord, щоб спілкуватися з досвідченими хакерами та мисливцями за вразливостями!

Інсайти щодо Хакінгу Взаємодійте з контентом, який досліджує захоплення та виклики хакінгу

Новини про Хакінг у Реальному Часі Будьте в курсі швидкозмінного світу хакінгу завдяки новинам та інсайтам у реальному часі

Останні Оголошення Будьте в курсі найновіших запусків баг-баунті та важливих оновлень платформи

Приєднуйтесь до нас на Discord та почніть співпрацювати з найкращими хакерами вже сьогодні!

Основна Інформація

Протокол віддаленого виклику процедур Microsoft (MSRPC), модель клієнт-сервер, яка дозволяє програмі запитувати послугу від програми, розташованої на іншому комп'ютері, не розуміючи конкрети мережі, спочатку був похідним від відкритого програмного забезпечення, а пізніше був розроблений та захищений авторським правом компанією Microsoft.

Мапер кінцевих точок RPC можна отримати через TCP та UDP порт 135, SMB на TCP 139 та 445 (з нульовою або аутентифікованою сесією) та як веб-сервіс на TCP порті 593.

135/tcp   open     msrpc         Microsoft Windows RPC

Як працює MSRPC?

Ініційований клієнтським додатком, процес MSRPC включає виклик локальної процедури-заглушки, яка потім взаємодіє з бібліотекою часу виконання клієнта для підготовки та передачі запиту на сервер. Це включає конвертацію параметрів у стандартний формат представлення даних мережі. Вибір транспортного протоколу визначається бібліотекою часу виконання, якщо сервер є віддаленим, забезпечуючи доставку RPC через мережевий стек.

Визначення відкритих служб RPC

Викриття служб RPC через TCP, UDP, HTTP та SMB може бути визначено шляхом запиту до служби локатора RPC та окремих кінцевих точок. Інструменти, такі як rpcdump, сприяють ідентифікації унікальних служб RPC, позначених значеннями IFID, розкриваючи деталі служби та зв'язки зв'язку:

D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:<IP>[1028]

Доступ до служби локатора RPC активовано через конкретні протоколи: ncacn_ip_tcp та ncadg_ip_udp для доступу через порт 135, ncacn_np для підключень SMB та ncacn_http для веб-заснованого взаємодії RPC. Наведені команди ілюструють використання модулів Metasploit для аудиту та взаємодії зі службами MSRPC, зокрема з фокусом на порт 135:

use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135

Усі опції, крім tcp_dcerpc_auditor, спеціально розроблені для атаки на MSRPC на порту 135.

Відомі інтерфейси RPC

• IFID: 12345778-1234-abcd-ef00-0123456789ab

• Іменована канал: \pipe\lsarpc

• Опис: Інтерфейс LSA, використовується для переліку користувачів.

• IFID: 3919286a-b10c-11d0-9ba8-00c04fd92ef5

• Іменована канал: \pipe\lsarpc

• Опис: Інтерфейс служб каталогів LSA (DS), використовується для переліку доменів та довіри.

• IFID: 12345778-1234-abcd-ef00-0123456789ac

• Іменована канал: \pipe\samr

• Опис: Інтерфейс LSA SAMR, використовується для доступу до елементів загальної бази даних SAM (наприклад, імен користувачів) та перебору паролів користувачів незалежно від політики блокування облікового запису.

• IFID: 1ff70682-0a51-30e8-076d-740be8cee98b

• Іменована канал: \pipe\atsvc

• Опис: Планувальник завдань, використовується для віддаленого виконання команд.

• IFID: 338cd001-2244-31f1-aaaa-900038001003

• Іменована канал: \pipe\winreg

• Опис: Віддалена служба реєстру, використовується для доступу та зміни системного реєстру.

• IFID: 367abb81-9844-35f1-ad32-98f038001003

• Іменована канал: \pipe\svcctl

• Опис: Менеджер керування службами та служби сервера, використовується для віддаленого запуску та зупинки служб та виконання команд.

• IFID: 4b324fc8-1670-01d3-1278-5a47bf6ee188

• Іменована канал: \pipe\srvsvc

• Опис: Менеджер керування службами та служби сервера, використовується для віддаленого запуску та зупинки служб та виконання команд.

• IFID: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57

• Іменована канал: \pipe\epmapper

• Опис: Інтерфейс DCOM, використовується для перебору паролів та збору інформації через WM.

Визначення IP-адрес

Використовуючи https://github.com/mubix/IOXIDResolver, розроблене дослідження Airbus можна зловживати методом ServerAlive2 всередині інтерфейсу IOXIDResolver.

Цей метод використовувався для отримання інформації про інтерфейс як IPv6 адресу з HTB box APT. Див. тут для огляду APT від 0xdf, включає альтернативний метод, використовуючи rpcmap.py з Impacket з stringbinding (див. вище).

Виконання RCE з дійсними обліковими даними

Можливо виконати віддалений код на машині, якщо доступні облікові дані дійсного користувача, використовуючи dcomexec.py з фреймворку impacket.

Не забудьте спробувати з різними доступними об'єктами

• ShellWindows

• ShellBrowserWindow

• MMC20

Порт 593

rpcdump.exe з rpctools може взаємодіяти з цим портом.

Посилання

• https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/

• https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/

• https://0xffsec.com/handbook/services/msrpc/

Приєднуйтесь до HackenProof Discord, щоб спілкуватися з досвідченими хакерами та мисливцями за багами!

Інсайти щодо взлому Взаємодійте з контентом, який досліджує захоплення та виклики взлому

Новини про взломи в реальному часі Будьте в курсі швидкозмінного світу взлому завдяки новинам та інсайтам в реальному часі

Останні оголошення Будьте в курсі нових баг-баунті, які запускаються, та важливих оновлень платформи

Приєднуйтесь до нас на Discord та почніть співпрацювати з топовими хакерами вже сьогодні!