MSRPC(MicroSoft Remote Procedure Call,微软远程过程调用)

最新推荐文章于 2024-05-18 16:32:41 发布
最新推荐文章于 2024-05-18 16:32:41 发布
阅读量8.9k 收藏 3
点赞数
分类专栏: 知识面拓展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/114363644
版权

背景

偶然发现普通管理员(非 Administrator),在右键管理员权限运行 A.exe 时,使用 ProcessMonistrator 观察这个进程被 explorer 创建,但是 hook explorer 的进程创建 api 却拦截不到 A.exe 的创建,之后尝试全局注入 dll ,发现创建 A.exe 的竟然是 svchost.exe !

回头看 ProcessMonistrator 中 explorer 的创建进程时的调用栈,发现里面有很多 rpc 相关的函数,所以应该是 explorer 使用 rpc 通知 svchost ,再由 svchost 完成进程创建的操作。

介绍

MSRPC (MicroSoft Remote Procedure Call,微软远程过程调用) 是对 DCE/RPC 在 Windows 系统下的重新改进和实现,用以支持 Windows 系统中的应用程序能够无缝地通过网络调用远程主机上服务进程中的过程。

DCE/RPC 独立运行于网络传输层协议之上,采用的网络传输层协议包括 ncacn_ip_tcp (TCP 135 端口)、ncadg_ip_udp (UDP 135 端口)、ncacn_np (TCP 139、445 端口) 等。其中,主要使用的是 ncacn_np (SMB 命名管道传输协议),也就是利用 SMB 命名管道机制作为 RPC 的承载传输协议 (MSRPC over SMB)。

原理分析

参考:
https://zhuanlan.zhihu.com/p/352908213
https://zhuanlan.zhihu.com/p/351280032

(-: LYSM :-)
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网络安全kali web安全 Kali之msf简单的漏洞利用
xueshenlaila的博客
03-08 1万+
信息收集 靶机的IP地址为:192.168.173.136 利用nmap工具扫描其开放端口、系统等 整理一下目标系统的相关信息 系统版本:Windows server 2003 开放的端口及服务: 21/tcp ftp 135/tcp msrpc 139/tcp netbios-ssn 445/tcp microsoft-ds 777/tcp multiling-http 1025/tcp NFS-or-IIS 1026/tcp LSA-or-nterm 1029/tcp ms
检测到 [SID: 23179] MSRPC Server Service BO。 已禁止来自此应用程序的通信: C:/WINDOWS/system32/ntoskrnl.exe 解决办法
李荣权的专栏--OS--Soft--Life
12-23 8806
Sep报 ntoskrnl通信被禁止处理建议1,  病毒日志:检测到 [SID: 23179] MSRPC Server Service BO。已禁止来自此应用程序的通信: C:/WINDOWS/system32/ntoskrnl.exe解读:该条日志表示来自于外部的应用程序通过MSRPC协议访问本地的程序ntoskrnl.exe时,由于检测到攻击行为被SEP的入侵防护功能所阻断2,  病毒介绍:请参见如下网址,该病毒存在abcd四种变种,我所模拟的是b变种http://www.microsoft.com/
关闭端口详解
today69的专栏
07-15 1160
关闭端口详解--防黑必备[glow=255,red,2][glow]我相信有很多人都不知道自己开了什么端口.更加不知道怎么关闭端口.你可以用查看端口的软件查看.也可以通过在运行里输入cmd在弹出的cmd命令行里输入netstat -an 来查看自己开放端口.ip地址的后面的就是端口号.以下是我自己写的一篇关于关闭端口的详细步骤和多种方法有很多人问我如何关闭端口,所以我(流云)整理了
内网渗透瑞士军刀-impacket工具解析(三)
最新发布
失心少年
05-18 1108
在 Windows 操作系统中,DCERPC(Distributed Computing Environment Remote Procedure Call)是一种基于 DCE(Distributed Computing Environment)标准的远程过程调用机制。它是用于在分布式环境中进行进程间通信的一种协议。DCERPC 在 Windows 中被广泛用于实现远程管理和协议交互,特别是在 Windows 网络环境中。它提供了一种标准化的方式,使得不同计算机间的进程可以通过网络进行通信和调用远程过程。
Windows漏洞:MS08-067
Nanyeer的博客
03-21 1622
对MS08-067漏洞(远程命令执行漏洞)的演示
常见端口介绍
星火baba
11-13 706
一些常见端口的中文介绍0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口  连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。  1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmu
一种MSRPC协议Longivity test的方法
跳着Samba的狮子
08-01 5512
MSRPCMicrosoft基于DCE RPC扩展后的一种RPC协议,中间加入了很多
MS08-067漏洞分析与复现
qq_43443410的博客
07-30 2527
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据.
渗透测试——网络服务渗透攻击
YT的博客
02-14 1万+
网络服务渗透攻击指的是:在之前的博客中描述的内存攻击中,以远程主机运行的某个网络服务程序为目标,向该目标服务开放端口发送内嵌恶意内容并符合该网络服务协议的数据包,利用网络服务程序内部的安全漏洞,劫持目标程序控制流,实施远程执行代码等行为,最终达到控制目标系统的目的。 以 Windows 系统平台为例,根据网络服务攻击面的类别来区分,可将网络服务渗透攻击分为以下三类: 针对 Windows 系统自...
服务扫描
_LsOutLook
04-28 1244
通过上一篇得到正在开放的端口,是不能绝对的认定哪个端口对应的就是某个服务软件或者协议的端口,这不是绝对的。 下面扫描一些对应端口所开放的服务。 Banner信息 通过banner信息可以获得包括软件开发商,软件名称,服务类型,版本号等信息,有可能通过已知的漏洞和弱点直接渗透到目标主机,当然所有的信息都可能不是真实的,所有有必要结合一些另类的服务识别方法,比如,特征识别和响应字段,而不同的...
彻底修复RPC服务器不可用.docx
07-08
RPCRemote Procedure Call,远程过程调用)是一种通过网络从远程计算机程序上请求服务的协议,而不需要了解底层网络技术。然而,在执行基于服务器的任务时,可能会收到“RPC server is unavailable(RPC服务器不...
impacket:Impacket是用于网络协议的Python类的集合
02-05
Impacket专注于提供对数据包的低级编程访问,并且对于某些协议(例如SMB1-3和MSRPC),协议实现本身。 数据包可以从头开始构建,也可以从原始数据中进行解析,而面向对象的API使处理协议深层次结构变得简单。 该库...
rpc服务器不可用.docx
09-27
5. 检查 RPC 服务状态:运行 Services.msc,检查 RPCRemote Procedure Call (RPC)和 Remote Procedure Call (RPC) Locator 这两项服务的情况,将它们设置为自动启动。如果还不行,看看 DCOM ServerProcess ...
工业互联网安全测试技术:应用测试实验文档.docx
06-24
MS08-067漏洞是一个著名的安全漏洞,它存在于微软的Server服务中,通过MSRPCMicrosoft Remote Procedure Call)over SMB(Server Message Block)协议进行通信。当Server服务调用NetPathCanonicalize函数处理远程...
简述服务器端口的作用是什么,服务器端口是什么?了解服务器端口的作用和原...
weixin_28979345的博客
07-29 1878
随着现在计算机网络技术的不断发展,原来物理上的接口(如键盘、鼠标、网卡、显示卡等输入/输出接口)已经不能全面满足网络通信的要求了,因此TCP/IP协议作为网络通信的标准协议就解决了这个通信的难题。在TCP/IP协议中引入”Socket(套接字)”应用程序接口,并将TCP/IP协议集成到计算机操作系统的内核中。如此一来就相当于在操作系统中引入了一套全新的输入/输出接口技术,因此每一台服务器通过不同的...
《metasploit渗透测试魔鬼训练营》学习笔记第五章--网络服务渗透攻击
2301_77162959的博客
05-29 355
由于程序每次运行时,栈中变量的地址都会变化,所以会通过一些跳转寄存器的指令作为跳板,使程序能够执行到栈中的shellcode,最常见的是以JMP ESP的地址来覆盖返回地址,从而使得程序执行该指令后重新跳转回栈中,来执行缓冲区溢出之后的数据。常见的有IIS服务,MSSQL服务,Exchange电子邮件服务,MSDTC服务,DNS域名服务,WINS服务等,可能存在着很大安全漏洞,从而成为攻击者的目标。栈溢出发生在向栈中写数据时,当数据长度超过栈分配的空间时,就会造成溢出。
ms08-067漏洞 远程溢出入侵测试
热门推荐
十年磨一剑,霜刃未曾试!
09-25 3万+
被攻击者IP地址:192.168.9.4,操作系统Windows XP sp3 English 攻击者IP地址:192.168.9.1   //查看数据库连接状态 msf > db_status [*] postgresql connected to msf3 //使用nmap扫描目标机器 msf > db_nmap -sS -sV -O --script=smb-check...
msrpc DCE/RPC服务枚举漏洞
05-22
msrpc DCE/RPC服务枚举漏洞是指攻击者通过枚举目标主机上的DCE/RPC服务,获取敏感信息或执行远程命令的漏洞。该漏洞通常存在于Windows系统中,攻击者可以利用这个漏洞来扫描网络上的主机,发现运行着DCE/RPC服务的主机,并枚举出这些服务的名称和版本信息,以便进一步攻击。 攻击者可以使用一些工具来利用这个漏洞,比如Microsoft提供的rpcdump工具、Metasploit框架中的模块等。为了防止这个漏洞的利用,管理员可以关闭不必要的服务,限制网络访问或者使用防火墙进行策略控制。另外,及时安装补丁和更新也是非常重要的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值