HackTricks111/TCP/UDP - Pentesting Portmapper
Tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP :HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
Informations de base
Portmapper est un service utilisé pour mapper les ports des services réseau aux numéros de programme RPC (appel de procédure distante). Il constitue un composant critique des systèmes basés sur Unix, facilitant l’échange d’informations entre ces systèmes. Le port associé à Portmapper est fréquemment scanné par des attaquants car il peut révéler des informations précieuses. Celles-ci incluent le type de système d’exploitation Unix (OS) en cours d’exécution et des détails sur les services disponibles sur le système. De plus, Portmapper est souvent utilisé conjointement avec NFS (système de fichiers réseau), NIS (service d’information réseau) et d’autres services basés sur RPC pour gérer efficacement les services réseau.
Port par défaut : 111/TCP/UDP, 32771 sous Oracle Solaris
PORT STATE SERVICE
111/tcp open rpcbind
Énumération
rpcinfo irked.htb
nmap -sSUC -p111 192.168.10.1
Parfois il ne vous donne aucune information, d’autres fois vous obtiendrez quelque chose comme ceci :
.png)
Utilisation avancée de rpcinfo
Utilisez rpcinfo -T udp -p <target> pour récupérer la liste des programmes UDP même lorsque TCP/111 est filtré, puis lancez immédiatement showmount -e <target> pour repérer les exports NFS lisibles publiquement enregistrés via rpcbind.
rpcinfo -T udp -p 10.10.10.10
showmount -e 10.10.10.10
Cartographie exhaustive avec Nmap NSE
Associez le scan classique à nmap --script=rpcinfo,rpc-grind -p111 <target> pour brute-force les numéros de programme RPC. rpc-grind martèle le portmapper avec des null calls qui parcourent la base de données nmap-rpc, extrayant les versions supportées chaque fois que le démon distant répond par “can’t support version”, ce qui révèle souvent des services enregistrés silencieusement comme rusersd, rquotad ou des daemons personnalisés. Le multi-threading via --script-args 'rpc-grind.threads=8' accélère les grandes cibles tandis que le script compagnon rpcinfo affiche des tableaux lisibles que vous pouvez diff par rapport aux baselines de l’hôte.
Shodan
port:111 portmap
RPCBind + NFS
Si vous trouvez le service NFS alors probablement vous pourrez lister et télécharger (et peut-être téléverser) des fichiers:
.png)
Read 2049 - Pentesting NFS service to learn more about how to test this protocol.
NIS
L’exploration des vulnérabilités NIS implique un processus en deux étapes, commençant par l’identification du service ypbind. La pierre angulaire de cette exploration est la découverte du nom de domaine NIS, sans lequel toute progression est bloquée.
.png)
Le parcours d’exploration commence par l’installation des paquets nécessaires (apt-get install nis). L’étape suivante consiste à utiliser ypwhich pour confirmer la présence du serveur NIS en le pingant avec le nom de domaine et l’IP du serveur, en veillant à anonymiser ces éléments pour des raisons de sécurité.
L’étape finale et cruciale implique la commande ypcat pour extraire des données sensibles, en particulier les mots de passe utilisateur chiffrés. Ces hashs, une fois craqués à l’aide d’outils comme John the Ripper, révèlent des informations sur les accès et privilèges du système.
# Install NIS tools
apt-get install nis
# Ping the NIS server to confirm its presence
ypwhich -d <domain-name> <server-ip>
# Extract user credentials
ypcat –d <domain-name> –h <server-ip> passwd.byname
Fichiers NIF
| Fichier maître | Map(s) | Notes |
|---|---|---|
| /etc/hosts | hosts.byname, hosts.byaddr | Contient les noms d’hôte et les détails IP |
| /etc/passwd | passwd.byname, passwd.byuid | Fichier de mot de passe utilisateur NIS |
| /etc/group | group.byname, group.bygid | Fichier de groupe NIS |
| /usr/lib/aliases | mail.aliases | Contient les alias mail |
Utilisateurs RPC
Si vous trouvez le service rusersd listé ainsi :
.png)
Vous pouvez énumérer les utilisateurs de la machine. Pour apprendre comment, lisez 1026 - Pentesting Rsusersd.
Contourner le port portmapper filtré
Lors d’un nmap scan et si vous découvrez des ports NFS ouverts avec le port 111 filtré, l’exploitation directe de ces ports n’est pas faisable. Cependant, en simulant un service portmapper localement et en créant un tunnel depuis votre machine vers la cible, l’exploitation devient possible avec des outils standard. Cette technique permet de contourner l’état filtré du port 111, ouvrant ainsi l’accès aux services NFS. Pour des instructions détaillées sur cette méthode, référez-vous à l’article disponible à this link.
Labs to practice
- Entraînez-vous avec ces techniques sur la Irked HTB machine.
HackTricks Automatic Commands
Protocol_Name: Portmapper #Protocol Abbreviation if there is one.
Port_Number: 43 #Comma separated if there is more than one.
Protocol_Description: PM or RPCBind #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for PortMapper
Note: |
Portmapper is a service that is utilized for mapping network service ports to RPC (Remote Procedure Call) program numbers. It acts as a critical component in Unix-based systems, facilitating the exchange of information between these systems. The port associated with Portmapper is frequently scanned by attackers as it can reveal valuable information. This information includes the type of Unix Operating System (OS) running and details about the services that are available on the system. Additionally, Portmapper is commonly used in conjunction with NFS (Network File System), NIS (Network Information Service), and other RPC-based services to manage network services effectively.
https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-rpcbind.html
Entry_2:
Name: rpc info
Description: May give netstat-type info
Command: whois -h {IP} -p 43 {Domain_Name} && echo {Domain_Name} | nc -vn {IP} 43
Entry_3:
Name: nmap
Description: May give netstat-type info
Command: nmap -sSUC -p 111 {IP}
Références
Tip
Apprenez et pratiquez le hacking AWS :
Apprenez et pratiquez le hacking GCP :Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.