Переделываем Impacket под кастомный транспорт

Всеми любимый инструмент бокового перемещения активно использует RPC в качестве транспорта для взаимодействия с целевым сервером. Однако используются стандартные конечные точки, которые могут активно мониториться. Сюда входят \PIPE\lsarpc , \PIPE\efsrpc, \PIPE\samr и иные.

Сам по себе процесс подключения достаточно прост. Тебе нужно знать String Binding, по которому слушает целевой RPC-сервер, а также его UUID для подключения.

Таким образом нам было бы интересно найти еще какой-нибудь String Binding, по которому слушает интересующий нас RPC-сервер.

Есть путь простой, есть путь самурая. Путь простой: использовать RPCView, RPC Investigator и иные GUI-тулзы для ручного выбора нужного эндпоинта и просмотра слушающих интерфейсов. С Linux - rpcdump.py , rpcmap.py . Автоматизация поиска - NT Object Manager:

 $rpc = ls "C:\Windows\system32\*" -Include "*.dll","*.exe" | Get-RpcServer
$rpc | ? {($_.InterfaceId -eq 'e3514235-4b06-11d1-ab04-00c04fc2dcd2')}

Впрочем есть и более интересный вариант. Самурай не будет осуществлять аккуратный подбор целевого эндпоинта, а запустит брутфорс. Наиболее популярными являются два транспорта: ncacn_ip_tcp (обычный TCP-коннект) и ncacn_np (Named Pipes). Например, если инструмент работал через ncacn_np, то можно попробовать его переделать на ncacn_ip_tcp следующим образом:
1. Запоминаем UUID целевого интерфейса RPC-сервера
2. Генерируем различные варианты RPC String Binding типа ncacn_ip_tcp, выбирая все открытые на системе порты (обязательно обратить внимание на порты DCERPC)
3. Пытаемся забиндиться по каждому RPC String Binding к целевому UUID
4. Если RPC-сервер поддерживает прослушивание на этой конечной точке, то мы к нему успешно подключимся и сможем пользоваться функционалом

Таким методом на днях родился POC на исполнение метода ATEXEC через DCERPC.

Если же хотим переделать с ncacn_ip_tcp на ncacn_np, то нужно брутфорсить не порты, а имена пайпов. Такой функционал есть в RemotePipeList , msf (auxiliary/scanner/smb/pipe_auditor) , а сам словарик можно достать из /usr/share/metasploit-framework/data/wordlists/named_pipes.txt .

Однако не стоит забывать, что обычным TCP и Named Pipes RPC не ограничивается, а предоставляет намного больше различных транспортов.

Exploit-Street Улица Сезам
*
LPE exploits для Windows (2023\2024)
*
Link