111/TCP/UDP - Pentesting Portmapper

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Basiese Inligting

Portmapper is ’n diens wat gebruik word om netwerkdiens-poorte aan RPC (Remote Procedure Call) programnommers toe te wys. Dit dien as ’n kritieke komponent in Unix-based systems, en fasiliteer die uitruil van inligting tussen hierdie stelsels. Die port wat met Portmapper geassosieer word, word gereeld deur aanvallers geskandeer aangesien dit waardevolle inligting kan openbaar. Hierdie inligting sluit in die tipe Unix Operating System (OS) wat loop en besonderhede oor die dienste wat op die stelsel beskikbaar is. Daarbenewens word Portmapper algemeen saam met NFS (Network File System), NIS (Network Information Service), en ander RPC-based services gebruik om netwerkdienste effektief te bestuur.

Standaardpoort: 111/TCP/UDP, 32771 in Oracle Solaris

PORT    STATE SERVICE
111/tcp open  rpcbind

Enumeration

rpcinfo irked.htb
nmap -sSUC -p111 192.168.10.1

Soms gee dit jou geen inligting; in ander gevalle kry jy iets soos die volgende:

Gevorderde gebruik van rpcinfo

Benut rpcinfo -T udp -p <target> om die UDP-programlys te kry, selfs wanneer TCP/111 gefilter is; voer dan onmiddellik showmount -e <target> uit om wêreldwyd leesbare NFS-uitvoere wat deur rpcbind geregistreer is, op te spoor.

rpcinfo -T udp -p 10.10.10.10
showmount -e 10.10.10.10

Uitputtende kartering met Nmap NSE

Pas die klassieke scan saam met nmap --script=rpcinfo,rpc-grind -p111 <target> toe om RPC-programnommers te brute-force. rpc-grind hamers die portmapper met null calls wat deur die nmap-rpc databasis loop, en onttrek ondersteunde weergawes wanneer die afstand-daemon terugantwoord met “can’t support version,” wat dikwels stil geregistreerde dienste soos rusersd, rquotad of aangepaste daemons openbaar. Multi-threading via --script-args 'rpc-grind.threads=8' versnel groot teikens terwyl die begeleidende rpcinfo script mensleesbare tabelle druk wat jy teen gas-baselines kan diff.

Shodan

  • port:111 portmap

RPCBind + NFS

As jy die diens NFS vind sal jy waarskynlik in staat wees om lêers te lys en af te laai (en moontlik op te laai):

Lees 2049 - Pentesting NFS service om meer te leer oor hoe om hierdie protokol te toets.

NIS

Die verkenning van NIS kwesbaarhede behels ’n twee-stap proses, wat begin met die identifikasie van die diens ypbind. Die hoeksteen van hierdie verkenning is om die NIS-domeinnaam te ontsluit, sonder welke vooruitgang stop.

Die verkenning begin met die installasie van die nodige pakkette (apt-get install nis). Die volgende stap vereis die gebruik van ypwhich om die teenwoordigheid van die NIS-bediener te bevestig deur dit te ping met die domeinnaam en bediener-IP, en sorg dat hierdie elemente geanonimiseer is vir sekuriteit.

Die finale en kritieke stap behels die gebruik van die ypcat opdrag om sensitiewe data uit te trek, veral geënkripteerde gebruikerswagwoorde. Hierdie hashes, sodra hulle gekraak is met gereedskap soos John the Ripper, openbaar insigte oor stelseltoegang en voorregte.

# Install NIS tools
apt-get install nis
# Ping the NIS server to confirm its presence
ypwhich -d <domain-name> <server-ip>
# Extract user credentials
ypcat –d <domain-name> –h <server-ip> passwd.byname

NIF-lêers

HooflêerKaart(e)Aantekeninge
/etc/hostshosts.byname, hosts.byaddrBevat gasheername en IP-besonderhede
/etc/passwdpasswd.byname, passwd.byuidNIS gebruikers wagwoordlêer
/etc/groupgroup.byname, group.bygidNIS-groeplêer
/usr/lib/aliasesmail.aliasesBeskrywing van mail-aliase

RPC-gebruikers

As jy die rusersd diens so gelys vind:

Jy kan gebruikers van die masjien opnoem. Om te leer hoe lees 1026 - Pentesting Rsusersd.

Omseil Gefilterde portmapper-poort

Wanneer jy ’n nmap scan doen en oop NFS-porte ontdek met poort 111 wat gefilter is, is direkte uitbuiting van hierdie porte nie moontlik nie. Deur egter ’n portmapper-diens plaaslik te simuleer en ’n tonnel vanaf jou masjien te skep na die teiken, word uitbuiting moontlik met standaardgereedskap. Hierdie tegniek laat toe om die gefilterde toestand van poort 111 te omseil en sodoende toegang tot NFS-dienste te verkry. Vir gedetailleerde leiding oor hierdie metode, verwys na die artikel beskikbaar by this link.

Labs om te oefen

HackTricks Automatic Commands

Protocol_Name: Portmapper    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: PM or RPCBind        #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for PortMapper
Note: |
Portmapper is a service that is utilized for mapping network service ports to RPC (Remote Procedure Call) program numbers. It acts as a critical component in Unix-based systems, facilitating the exchange of information between these systems. The port associated with Portmapper is frequently scanned by attackers as it can reveal valuable information. This information includes the type of Unix Operating System (OS) running and details about the services that are available on the system. Additionally, Portmapper is commonly used in conjunction with NFS (Network File System), NIS (Network Information Service), and other RPC-based services to manage network services effectively.

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-rpcbind.html

Entry_2:
Name: rpc info
Description: May give netstat-type info
Command: whois -h {IP} -p 43 {Domain_Name} && echo {Domain_Name} | nc -vn {IP} 43

Entry_3:
Name: nmap
Description: May give netstat-type info
Command: nmap -sSUC -p 111 {IP}

Verwysings

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks