HackTricks135, 593 - Pentesting MSRPC
tip
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Informaci贸n B谩sica
El protocolo Microsoft Remote Procedure Call (MSRPC), un modelo cliente-servidor que permite a un programa solicitar un servicio de un programa ubicado en otra computadora sin entender los detalles de la red, se deriv贸 inicialmente de software de c贸digo abierto y luego fue desarrollado y protegido por Microsoft.
El mapeador de puntos finales RPC se puede acceder a trav茅s del puerto TCP y UDP 135, SMB en TCP 139 y 445 (con una sesi贸n nula o autenticada), y como un servicio web en el puerto TCP 593.
135/tcp open msrpc Microsoft Windows RPC
驴C贸mo funciona MSRPC?
Iniciado por la aplicaci贸n cliente, el proceso MSRPC implica llamar a un procedimiento stub local que luego interact煤a con la biblioteca de tiempo de ejecuci贸n del cliente para preparar y transmitir la solicitud al servidor. Esto incluye convertir par谩metros en un formato est谩ndar de Representaci贸n de Datos de Red. La elecci贸n del protocolo de transporte es determinada por la biblioteca de tiempo de ejecuci贸n si el servidor es remoto, asegurando que el RPC se entregue a trav茅s de la pila de red.
Identificaci贸n de Servicios RPC Expuestos
La exposici贸n de servicios RPC a trav茅s de TCP, UDP, HTTP y SMB se puede determinar consultando el servicio de localizaci贸n RPC y puntos finales individuales. Herramientas como rpcdump facilitan la identificaci贸n de servicios RPC 煤nicos, denotados por valores IFID, revelando detalles del servicio y enlaces de comunicaci贸n:
D:\rpctools> rpcdump [-p port] <IP>
**IFID**: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
Annotation: Messenger Service
UUID: 00000000-0000-0000-0000-000000000000
Binding: ncadg_ip_udp:<IP>[1028]
El acceso al servicio de localizaci贸n RPC est谩 habilitado a trav茅s de protocolos espec铆ficos: ncacn_ip_tcp y ncadg_ip_udp para acceder a trav茅s del puerto 135, ncacn_np para conexiones SMB y ncacn_http para comunicaci贸n RPC basada en web. Los siguientes comandos ejemplifican la utilizaci贸n de m贸dulos de Metasploit para auditar e interactuar con servicios MSRPC, centr谩ndose principalmente en el puerto 135:
use auxiliary/scanner/dcerpc/endpoint_mapper
use auxiliary/scanner/dcerpc/hidden
use auxiliary/scanner/dcerpc/management
use auxiliary/scanner/dcerpc/tcp_dcerpc_auditor
rpcdump.py <IP> -p 135
Todas las opciones excepto tcp_dcerpc_auditor est谩n dise帽adas espec铆ficamente para apuntar a MSRPC en el puerto 135.
Interfaces RPC notables
- IFID: 12345778-1234-abcd-ef00-0123456789ab
- Named Pipe:
\pipe\lsarpc - Descripci贸n: Interfaz LSA, utilizada para enumerar usuarios.
- IFID: 3919286a-b10c-11d0-9ba8-00c04fd92ef5
- Named Pipe:
\pipe\lsarpc - Descripci贸n: Interfaz de Servicios de Directorio LSA (DS), utilizada para enumerar dominios y relaciones de confianza.
- IFID: 12345778-1234-abcd-ef00-0123456789ac
- Named Pipe:
\pipe\samr - Descripci贸n: Interfaz LSA SAMR, utilizada para acceder a elementos p煤blicos de la base de datos SAM (por ejemplo, nombres de usuario) y realizar ataques de fuerza bruta a contrase帽as de usuario sin importar la pol铆tica de bloqueo de cuentas.
- IFID: 1ff70682-0a51-30e8-076d-740be8cee98b
- Named Pipe:
\pipe\atsvc - Descripci贸n: Programador de tareas, utilizado para ejecutar comandos de forma remota.
- IFID: 338cd001-2244-31f1-aaaa-900038001003
- Named Pipe:
\pipe\winreg - Descripci贸n: Servicio de registro remoto, utilizado para acceder y modificar el registro del sistema.
- IFID: 367abb81-9844-35f1-ad32-98f038001003
- Named Pipe:
\pipe\svcctl - Descripci贸n: Administrador de control de servicios y servicios de servidor, utilizado para iniciar y detener servicios de forma remota y ejecutar comandos.
- IFID: 4b324fc8-1670-01d3-1278-5a47bf6ee188
- Named Pipe:
\pipe\srvsvc - Descripci贸n: Administrador de control de servicios y servicios de servidor, utilizado para iniciar y detener servicios de forma remota y ejecutar comandos.
- IFID: 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57
- Named Pipe:
\pipe\epmapper - Descripci贸n: Interfaz DCOM, utilizada para ataques de fuerza bruta a contrase帽as y recopilaci贸n de informaci贸n a trav茅s de WM.
Identificaci贸n de direcciones IP
Usando https://github.com/mubix/IOXIDResolver, proveniente de Airbus research, es posible abusar del m茅todo ServerAlive2 dentro de la interfaz IOXIDResolver.
Este m茅todo se ha utilizado para obtener informaci贸n de la interfaz como direcci贸n IPv6 de la caja HTB APT. Vea aqu铆 para el informe de 0xdf APT, incluye un m茅todo alternativo usando rpcmap.py de Impacket con stringbinding (ver arriba).
Ejecutando un RCE con credenciales v谩lidas
Es posible ejecutar c贸digo remoto en una m谩quina, si las credenciales de un usuario v谩lido est谩n disponibles usando dcomexec.py del marco impacket.
Recuerde intentar con los diferentes objetos disponibles
- ShellWindows
- ShellBrowserWindow
- MMC20
Puerto 593
El rpcdump.exe de rpctools puede interactuar con este puerto.
Referencias
- https://www.cyber.airbus.com/the-oxid-resolver-part-1-remote-enumeration-of-network-interfaces-without-any-authentication/
- https://www.cyber.airbus.com/the-oxid-resolver-part-2-accessing-a-remote-object-inside-dcom/
- https://0xffsec.com/handbook/services/msrpc/
tip
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.