111/TCP/UDP - Pentesting Portmapper

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Informazioni di base

Portmapper è un servizio utilizzato per mappare le porte dei servizi di rete ai numeri di programma RPC (Remote Procedure Call). Agisce come un componente critico nei Unix-based systems, facilitando lo scambio di informazioni tra questi sistemi. La port associata a Portmapper è frequentemente scansionata dagli attackers poiché può rivelare informazioni preziose. Queste informazioni includono il tipo di Unix Operating System (OS) in esecuzione e i dettagli sui servizi disponibili sul sistema. Inoltre, Portmapper è comunemente usato in combinazione con NFS (Network File System), NIS (Network Information Service) e altri RPC-based services per gestire efficacemente i servizi di rete.

Porta predefinita: 111/TCP/UDP, 32771 in Oracle Solaris

PORT    STATE SERVICE
111/tcp open  rpcbind

Enumerazione

rpcinfo irked.htb
nmap -sSUC -p111 192.168.10.1

A volte non ti fornisce alcuna informazione, in altre occasioni otterrai qualcosa di simile:

Uso avanzato di rpcinfo

Usa rpcinfo -T udp -p <target> per ottenere la lista dei programmi UDP anche quando TCP/111 è filtrato, quindi esegui immediatamente showmount -e <target> per individuare le esportazioni NFS leggibili da tutti registrate tramite rpcbind.

rpcinfo -T udp -p 10.10.10.10
showmount -e 10.10.10.10

Mappatura esaustiva con Nmap NSE

Accoppia la scansione classica con nmap --script=rpcinfo,rpc-grind -p111 <target> per brute-forzare i numeri dei programmi RPC. rpc-grind bombarda il portmapper con chiamate null che attraversano il database nmap-rpc, estraendo le versioni supportate ogni volta che il demone remoto risponde con “can’t support version”, il che spesso rivela servizi registrati silenziosamente come rusersd, rquotad o demoni personalizzati. Il multi-threading tramite --script-args 'rpc-grind.threads=8' accelera l’analisi di target grandi mentre lo script companion rpcinfo stampa tabelle leggibili dall’umano che puoi confrontare con le baseline dell’host.

Shodan

  • port:111 portmap

RPCBind + NFS

Se trovi il servizio NFS probabilmente potrai elencare e scaricare (e magari caricare) file:

Leggi 2049 - Pentesting NFS service per imparare di più su come testare questo protocollo.

NIS

Esplorare le vulnerabilità di NIS comporta un processo in due fasi, iniziando con l’identificazione del servizio ypbind. La pietra angolare di questa esplorazione è scoprire il nome del dominio NIS, senza il quale il progresso si arresta.

Il percorso di esplorazione comincia con l’installazione dei pacchetti necessari (apt-get install nis). Il passo successivo richiede l’uso di ypwhich per confermare la presenza del server NIS pingandolo con il nome del dominio e l’IP del server, assicurandosi che questi elementi siano anonimizzati per la sicurezza.

L’ultimo e cruciale passaggio prevede il comando ypcat per estrarre dati sensibili, in particolare le password utente criptate. Questi hash, una volta crackati usando tool come John the Ripper, rivelano informazioni sull’accesso al sistema e sui privilegi.

# Install NIS tools
apt-get install nis
# Ping the NIS server to confirm its presence
ypwhich -d <domain-name> <server-ip>
# Extract user credentials
ypcat –d <domain-name> –h <server-ip> passwd.byname

File NIF

File principaleMappeNote
/etc/hostshosts.byname, hosts.byaddrContiene hostnames e dettagli IP
/etc/passwdpasswd.byname, passwd.byuidFile delle password utente NIS
/etc/groupgroup.byname, group.bygidFile dei gruppi NIS
/usr/lib/aliasesmail.aliasesDettagli mail aliases

Utenti RPC

Se trovi il servizio rusersd elencato così:

Potresti enumerare gli utenti della macchina. Per sapere come, leggi 1026 - Pentesting Rsusersd.

Bypass della porta portmapper filtrata

Quando esegui una nmap scan e trovi porte NFS aperte con la porta 111 filtrata, lo sfruttamento diretto di queste porte non è fattibile. Tuttavia, simulando un servizio portmapper localmente e creando un tunnel dalla tua macchina verso il target, lo sfruttamento diventa possibile usando strumenti standard. Questa tecnica consente di bypassare lo stato filtrato della porta 111, permettendo l’accesso ai servizi NFS. Per una guida dettagliata su questo metodo, consulta l’articolo disponibile a this link.

Laboratori per esercitarsi

Comandi automatici HackTricks

Protocol_Name: Portmapper    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: PM or RPCBind        #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for PortMapper
Note: |
Portmapper is a service that is utilized for mapping network service ports to RPC (Remote Procedure Call) program numbers. It acts as a critical component in Unix-based systems, facilitating the exchange of information between these systems. The port associated with Portmapper is frequently scanned by attackers as it can reveal valuable information. This information includes the type of Unix Operating System (OS) running and details about the services that are available on the system. Additionally, Portmapper is commonly used in conjunction with NFS (Network File System), NIS (Network Information Service), and other RPC-based services to manage network services effectively.

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-rpcbind.html

Entry_2:
Name: rpc info
Description: May give netstat-type info
Command: whois -h {IP} -p 43 {Domain_Name} && echo {Domain_Name} | nc -vn {IP} 43

Entry_3:
Name: nmap
Description: May give netstat-type info
Command: nmap -sSUC -p 111 {IP}

Riferimenti

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks