rpcclient enumeration

通过 8kSec 学院深化您在 移动安全 方面的专业知识。通过我们的自学课程掌握 iOS 和 Android 安全并获得认证：

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

相对标识符 (RID) 和安全标识符 (SID) 概述

相对标识符 (RID) 和 安全标识符 (SID) 是 Windows 操作系统中用于唯一标识和管理网络域内对象（如用户和组）的关键组件。

• SID 作为域的唯一标识符，确保每个域都是可区分的。

• RID 附加到 SID 上，以创建该域内对象的唯一标识符。这种组合允许精确跟踪和管理对象权限和访问控制。

例如，一个名为 pepe 的用户可能有一个唯一标识符，该标识符结合了域的 SID 和他特定的 RID，以十六进制 (0x457) 和十进制 (1111) 格式表示。这导致在域内为 pepe 生成一个完整且唯一的标识符，如：S-1-5-21-1074507654-1937615267-42093643874-1111。

使用 rpcclient 进行枚举

来自 Samba 的 rpcclient 工具用于通过命名管道与 RPC 端点 进行交互。以下命令可以在 SMB 会话建立后 发给 SAMR、LSARPC 和 LSARPC-DS 接口，通常需要凭据。

服务器信息

• 要获取 服务器信息：使用 srvinfo 命令。

用户枚举

• 可以列出用户：使用 querydispinfo 和 enumdomusers。

• 获取用户详细信息：使用 queryuser <0xrid>。

• 获取用户的组：使用 queryusergroups <0xrid>。

• 通过 lookupnames <username> 检索用户的 SID。

• 通过 queryuseraliases [builtin|domain] <sid> 获取用户的别名。

# Users' RIDs-forced
for i in $(seq 500 1100); do
rpcclient -N -U "" [IP_ADDRESS] -c "queryuser 0x$(printf '%x\n' $i)" | grep "User Name\|user_rid\|group_rid" && echo "";
done

# samrdump.py can also serve this purpose

组的枚举

• 通过: enumdomgroups 获取 组。

• 使用: querygroup <0xrid> 获取组的详细信息。

• 通过: querygroupmem <0xrid> 获取组的成员。

别名组的枚举

• 通过: enumalsgroups <builtin|domain> 获取别名组。

• 使用: queryaliasmem builtin|domain <0xrid> 获取别名组的成员。

域的枚举

• 使用: enumdomains 获取域。

• 通过: lsaquery 检索域的SID。

• 通过: querydominfo 获取域信息。

共享的枚举

• 通过: netshareenumall 获取所有可用的共享。

• 使用: netsharegetinfo <share> 获取特定共享的信息。

与SID的附加操作

• 通过名称获取SID: lookupnames <username>。

• 通过: lsaenumsid 获取更多SID。

• 通过: lookupsids <sid> 进行RID循环以检查更多SID。

额外命令

要更好地理解工具 samrdump 和 rpcdump 的工作原理，您应该阅读 Pentesting MSRPC。

通过8kSec Academy深化您在移动安全方面的专业知识。通过我们的自学课程掌握iOS和Android安全并获得认证：

On-demand Mobile Security Training | 8kSec Academy8kSec Academy