111/TCP/UDP - Pentesting Portmapper

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Основна інформація

Portmapper — це служба, яка використовується для відображення портів мережевих сервісів у номери програм RPC (Remote Procedure Call). Вона є критичною складовою Unix-based systems, що полегшує обмін інформацією між такими системами. port, пов’язаний з Portmapper, часто сканується атакувальниками, оскільки може виявити цінну інформацію. Ця інформація включає тип запущеної Unix Operating System (OS) та відомості про сервіси, доступні в системі. Крім того, Portmapper часто використовується разом із NFS (Network File System), NIS (Network Information Service) та іншими RPC-based services для ефективного керування мережевими сервісами.

Порт за замовчуванням: 111/TCP/UDP, 32771 в Oracle Solaris

PORT    STATE SERVICE
111/tcp open  rpcbind

Перерахування

rpcinfo irked.htb
nmap -sSUC -p111 192.168.10.1

Інколи воно не дає вам жодної інформації, у інших випадках ви отримаєте щось подібне:

Розширене використання rpcinfo

Скористайтеся rpcinfo -T udp -p <target> щоб отримати список UDP-програм навіть коли TCP/111 відфільтровано, а потім одразу виконайте showmount -e <target> щоб виявити NFS-експорти, доступні для читання всіма, зареєстровані через rpcbind.

rpcinfo -T udp -p 10.10.10.10
showmount -e 10.10.10.10

Повне картування з Nmap NSE

Поєднайте класичне сканування з nmap --script=rpcinfo,rpc-grind -p111 <target> щоб перебрати номера RPC-програм. rpc-grind навалює portmapper null-викликами, які проходять по базі даних nmap-rpc, витягуючи підтримувані версії щоразу, коли віддалений демон відповідає “can’t support version,” що часто виявляє тихо зареєстровані сервіси, такі як rusersd, rquotad або кастомні демони. Мультипотоковість через --script-args 'rpc-grind.threads=8' пришвидшує обробку великих цілей, а допоміжний скрипт rpcinfo виводить читабельні таблиці, які ви можете порівнювати з базовими знімками хоста.

Shodan

  • port:111 portmap

RPCBind + NFS

Якщо ви знайдете сервіс NFS, швидше за все, зможете перелічувати й завантажувати файли (а можливо — й завантажувати на сервер):

Read 2049 - Pentesting NFS service to learn more about how to test this protocol.

NIS

Дослідження вразливостей NIS передбачає двоетапний процес, що починається з ідентифікації сервісу ypbind. Ключем у цьому дослідженні є виявлення ім’я NIS-домену, без якого подальший прогрес неможливий.

Процес розпочинається з встановлення необхідних пакетів (apt-get install nis). Наступний крок вимагає використання ypwhich щоб підтвердити наявність NIS-сервера, пропінгуючи його за ім’ям домену та IP сервера — переконайтесь, що ці дані анонімізовані з метою безпеки.

Останній і найважливіший крок — використання команди ypcat для витягання конфіденційних даних, зокрема зашифрованих паролів користувачів. Ці хеші, після злому за допомогою таких інструментів, як John the Ripper, дають уявлення про доступи та привілеї в системі.

# Install NIS tools
apt-get install nis
# Ping the NIS server to confirm its presence
ypwhich -d <domain-name> <server-ip>
# Extract user credentials
ypcat –d <domain-name> –h <server-ip> passwd.byname

NIF files

Головний файлМап(и)Примітки
/etc/hostshosts.byname, hosts.byaddrМістить імена хостів та деталі IP
/etc/passwdpasswd.byname, passwd.byuidNIS — файл паролів користувачів
/etc/groupgroup.byname, group.bygidNIS файл груп
/usr/lib/aliasesmail.aliasesМістить поштові псевдоніми

RPC користувачі

Якщо ви знайдете сервіс rusersd, зазначений таким чином:

Ви зможете перерахувати користувачів цієї машини. Щоб дізнатися як — читайте 1026 - Pentesting Rsusersd.

Обхід відфільтрованого порту Portmapper

При проведенні nmap scan і виявленні відкритих NFS-портів, коли порт 111 позначено як filtered, пряме використання цих портів неможливе. Однак шляхом емуляції служби portmapper локально та створення тунелю з вашої машини до цілі, експлуатація стає можливою за допомогою стандартних інструментів. Ця техніка дозволяє обійти відфільтрований стан порту 111 і отримати доступ до NFS-сервісів. Для детальної інструкції див. статтю за this link.

Лаби для практики

HackTricks Automatic Commands

Protocol_Name: Portmapper    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: PM or RPCBind        #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for PortMapper
Note: |
Portmapper is a service that is utilized for mapping network service ports to RPC (Remote Procedure Call) program numbers. It acts as a critical component in Unix-based systems, facilitating the exchange of information between these systems. The port associated with Portmapper is frequently scanned by attackers as it can reveal valuable information. This information includes the type of Unix Operating System (OS) running and details about the services that are available on the system. Additionally, Portmapper is commonly used in conjunction with NFS (Network File System), NIS (Network Information Service), and other RPC-based services to manage network services effectively.

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-rpcbind.html

Entry_2:
Name: rpc info
Description: May give netstat-type info
Command: whois -h {IP} -p 43 {Domain_Name} && echo {Domain_Name} | nc -vn {IP} 43

Entry_3:
Name: nmap
Description: May give netstat-type info
Command: nmap -sSUC -p 111 {IP}

Джерела

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks