web-dev-qa-db-ja.com

列挙とMS DCERPC

列挙、列挙、さらに多くの列挙は、一般的なペンテストのマントラですが、結果を読み取ることができない場合、列挙は価値がありません。

Metasploitが次のような結果を返すWindows RPCサービスに出くわしました。

msf auxiliary(endpoint_mapper) > run

[*] Connecting to the endpoint mapper service...
[*] 12345778-1234-abcd-ef00-0123456789ac v1.0 TCP (49179) 192.168.41.221
[*] 2f5f6521-cb55-1059-b446-00df0bce31db v1.0 PIPE (\pipe\tapsrv) 
\\XXXXX [Unimodem LRPC Endpoint]
[*] 2f5f6521-cb55-1059-b446-00df0bce31db v1.0 LRPC (tapsrvlpc) [Unimodem 
LRPC Endpoint]
[*] 2f5f6521-cb55-1059-b446-00df0bce31db v1.0 LRPC (unimdmsvc) [Unimodem 
LRPC Endpoint]
[*] 906b0ce0-c70b-1067-b317-00dd010662da v1.0 LRPC 
(LRPC-d08ef1fa6d632a075d)
[*] 906b0ce0-c70b-1067-b317-00dd010662da v1.0 LRPC 
(LRPC-d08ef1fa6d632a075d)
[*] 906b0ce0-c70b-1067-b317-00dd010662da v1.0 LRPC 
(LRPC-d08ef1fa6d632a075d)
[*] 906b0ce0-c70b-1067-b317-00dd010662da v1.0 LRPC 
(LRPC-d08ef1fa6d632a075d)
[*] 906b0ce0-c70b-1067-b317-00dd010662da v1.0 LRPC 
(OLEEE86D47927814F3C96D95E0A7601)
[*] 906b0ce0-c70b-1067-b317-00dd010662da v1.0 LRPC 
(LRPC-bec9533644f8432732)
[*] 367abb81-9844-35f1-ad32-98f038001003 v2.0 TCP (49164) 192.168.41.221
[*] 12345678-1234-abcd-ef00-0123456789ab v1.0 LRPC 
(LRPC-9d7905a8727cb4e919) [IPSec Policy agent endpoint]
[*] 50abc2a4-574d-40b3-9d66-ee4fd5fba076 v5.0 TCP (49155) 192.168.41.221
...

または

msf auxiliary(management) > run

[*] UUID e1af8308-5d1f-11c9-91a4-08002b14a0fa v3.0
[*] Remote Management Interface Error: DCERPC FAULT => nca_s_fault_ndr
[*]      listening: 00000000
[*]      killed: 00000005
[*]      name: 00010000000000000100000000000000d3060000
[*] UUID 0b0a6584-9e0f-11cf-a3cf-00805f68cb1b v1.1
[*] Remote Management Interface Error: DCERPC FAULT => nca_s_fault_ndr
[*]      listening: 00000000
[*]      killed: 00000005
[*]      name: 00010000000000000100000000000000d3060000
...

または

msf auxiliary(tcp_dcerpc_auditor) > run

192.168.41.221 - UUID 99fcfec4-5260-101b-bbcb-00aa0021347a 0.0 OPEN VIA 
135 ACCESS GRANTED 00000000000000000000000000000000000000000000000076070000
192.168.41.221 - UUID afa8bd80-7d8a-11c9-bef4-08002b102989 1.0 OPEN VIA 
135 ACCESS GRANTED 
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

しかし、私はこの情報をどうするかわかりません。サンプル#1はちょっと便利なようですが、とにかくこの情報は攻撃者が次の行動を計画するのにどのように役立ちますか?ここでmetasploitは何を教えていますか?

7
countermode

[〜#〜] msrpc [〜#〜] DCE-RPC IFIDs に基づいて、投稿した最初のコマンド出力から、ターゲットは潜在的に MS00-07CVE-2000-0544CVE-2001-0662CVE-2002-1561CVE-2003-05CVE-2003-0818CVE-2004-0894 、CVE-2005-1984(Nessus 19406および 19407 およびCANVAS ms05_04 およびCORE IMPACT MSRPC SPOOLSSバッファーオーバーフロー )、 CVE-2005-2119CVE-2006 -0034/1184 (Nessus 21334 およびCORE IMPACT MSDTC Allocation )、または CVE-2007-1748epdump ツールを使用して特定された一部のIFIDに関するおおまかな情報、または Windowsネットワークサービス内部 のドキュメントを参照して各IFIDに関する詳細な情報を取得できます。

すべてのIFIDを列挙し、それらが何であるかを説明するかなりのGUIが必要な場合は、 RpcScan と呼ばれる、securityfriday.comからのこの古いツールをチェックしてください。その中のダウンロードリンクが機能しなかったので、少し調べた後、ツールを不審な場所で見つけることができました- here --に含まれているGPG署名を確認できました.sigファイルで '--verify'を使用し、結果のキーIDに '--search-keys'を使用してZipファイルを作成し、キーを編集して信頼を追加し、最後に関連する実行可能ファイルで署名を検証します。念のため、吹き飛ばしたゲストで実行することもできますVM.

さらに、その最初のIFIDは、SAMRが192.168.41.221で [〜#〜] tcp [〜#〜] ポート49179を介して 動的割り当て のために実行されていることを示しています。これは、rpctoolsユーティリティバンドルのwalksamなどのツールを使用して照会できます。

Rpctoolsの詳細については、こちら- https://web.archive.org/web/20070510223113/http://www.bindview.com/Services/RAZOR/Utilities/Windows/rpctools1.0-readme.cfm

そして、ここにZipファイルをダウンロードします- https://web.archive.org/web/20070510223113/http://www.bindview.com/Resources/RAZOR/Files/rpctools-1.0.Zip

次の手法を使用してサーバーにクエリを実行します。

C:\> walksam -p ncacn_ip_tcp -e 49179 192.168.41.221

SAMデータベースをウォークスルーするときに、より一般的なユーザー情報を取得するには、フラグなしで(すべてのSMB hostsに対して)walksamも実行します。TrustedSecは、RIDサイクリングを実行するツールもリリースしました。 walksamによって実行される手法 rid_enum.py の詳細は、GitHubページで確認できます。

Metasploit-framework補助モジュールを介して収集した情報から、ピボットポイントに関連するツールがたくさんあります。いくつかはここにあります- http://winhackingexposed.com/tools.html -そしてRPCとその本のセクションで議論されていますSMB章の列挙4.クリスマクナブの作品も、彼の賢い本からこの回答の情報の多くを集めたので、お勧めします。

このMSRPCツールチェーンの最新の同等機能は、CoreSec impacket ツールです。 rpcdump.pyがありますが、それらのifmap.pyツールとopmap.pyツールを使用するとより適切に使用できる場合があります。これらは、samrdump.py、lookupsid.py、そして場合によってはservices.pyやsecretsdump.pyのような他のツールに導きます。これらはすべて純粋にMSRPC DCE-RPCの観点から言えば、このWindowsマシンまたは周辺環境への他の多くの経路がある可能性があります。

12
atdre

私はあなたがRPCがどのように機能するか知っていると仮定しています。 Metasploitは、ユーザーがリストしたメソッドと非表示のメソッド以外を使用して、DCE-RPCサービス(DCOMオブジェクト)を列挙できるようにします。エンドポイントマッパーは、エンドポイントマッパーに登録されているDCOMオブジェクトまたはサービスのリストを提供します。エンドポイントマッパーがサービスへの動的バインドをサポートしている理由endpoint-mapperを実行した後に表示されたUUID(Universal Unique Identifier)のリストは、固有のサービスにマップされます。したがって、次のステップは、インターネット(Google)でこれらのサービスを検索し、RPCに対して脆弱(オーバーフロー)かどうかを確認することです。

Dcerpc管理モジュールは、dcerpcサービスのリモート管理インターフェースから情報を取得します。予期した応答を取得していないため、印刷していますリモート管理インターフェースエラー:DCERPC FAULT => nca_s_fault_ndr/ opt/metasploit/apps/pro/msf3/lib/msf/core/exploit/dcerpc_mgmt.rbの場所でプローブコードを確認できます。

最後のtcp_dcerpc_auditorは、TCP経由で利用可能なRPCサービスをスキャンします。

1
P4cK3tHuNt3R