======================================================================== Brève présentant les interfaces RPC Windows et leur UUID correspondant ======================================================================== 1- Présentation succinte ======================================================================== Sur le port 135 (TCP et UDP) se trouve le service portmapper RPC de Windows ainsi que le gestionnaire de contrôle de services COM (COM SCM). Afin de connaître les services RPC présents sur le système, l'outil Metasploit 3.3 peut être utilisé avec les modules auxiliaires pipe_dcerpc_auditor (scanner/smb/pipe_dcerpc_auditor) et endpoint_mapper (scanner/dcerpc/endpoint_mapper). Ceci permet de lister à distance les interfaces RPC accessibles anonymement et présentes sur la machine. Chaque service RPC est identifié par un identifiant d'interface UUID (Universal Unique Identifier / identificateur unique universel). En fonction des résultats précédents, il est possible de connaître les services présents sur la machine. Le service RPC se configure lui-même dans le Registre avec un UUID de 128 bits qui est réservé à ce service et commun quelle que soit la plate-forme. Quand un client veut communiquer avec un service RPC particulier, il se connecte d'abord au service portmapper et demande à communiquer avec le service dont il donne l'UUID. Le portmapper retourne le numéro de port correspondant à l'UUID fourni par le client et ferme la connexion le concernant. Ce dernier peut ensuite se connecter au service voulu en établissant une nouvelle connexion avec le port que lui a fourni le portmapper. Ce port restera alors inchangé pour toute la durée d'exécution du service. Par défaut, les ports dynamiques ont un numéro supérieur à 1024 (Intervalle de 1025 à 5000) sur les versions jusqu'à Windows Server 2003. Pour Windows Vista et Windows Server 2008, l'intervalle par défaut des ports dynamiques est de 49152 à 65535. Le service portmapper est en réalité accessible sur deux autres protocoles de transport que TCP et UDP car il est aussi accessible sur canaux nommés ("named pipes") par le canal \pipe\epmapper et dans certaines conditions sur HTTP par le port 593 (on est alors au niveau de la couche réseau application couche 7). Voir notamment l'article de Jean-Baptiste 'jbm' Marchand : http://www.hsc.fr/ressources/articles/win_net_srv/chap_msrpc.html Aucune base de données officielle et publique ne fait la correspondance entre les UUID et les services RPC. Ceci peut être utile lors de tests d'intrusion pour savoir quels sont les services lancés sur la machine (modules pipe_dcerpc_auditor et endpoint_mapper de Metasploit) ou même lors d'audits d'un ISA Server, d'un FireWall-1 ou d'un Juniper avec les filtres RPC qui sont mis en place. Aussi, pour Windows Vista et Windows Server 2008, il est désormais possible de filtrer de manière sélective les UUID. Par exemple, pour filtrer l'interface du service Server 4b324fc8-1670-01d3-1278-5a47bf6ee188 (pour éviter par exemple la vulnérabilite MS08-067 ;)), ceci peut être fait avec netsh : netsh>rpc netsh rpc>filter netsh rpc filter>add rule layer=um actiontype=block netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188 netsh rpc filter>add filter netsh rpc filter>quit Les filtres mis en place peuvent également être affichés avec netsh : C:\>netsh rpc filter show filter Dans le listing apparaît alors le UUID pour le champ "filterKey". 2- Exemple d'utilisation à distance en anonyme avec Metasploit ======================================================================== Voici un exemple de résultat obtenu avec le module auxiliaire endpoint_mapper exécuté à distance en anonyme vers un Windows Server 2003 SP2 configuré par défaut : [*] Connecting to the endpoint mapper service... [*] 3c4728c5-f0ab-448b-bda1-6ce01eb0a6d5 v1.0 LRPC (dhcpcsvc) [DHCP Client LRPC Endpoint] [*] 2f5f6521-cb55-1059-b446-00df0bce31db v1.0 PIPE (\pipe\tapsrv) \\NEWFENETRE [Unimodem LRPC Endpoint] [*] 2f5f6521-cb55-1059-b446-00df0bce31db v1.0 LRPC (tapsrvlpc) [Unimodem LRPC Endpoint] [*] 2f5f6521-cb55-1059-b446-00df0bce31db v1.0 LRPC (unimdmsvc) [Unimodem LRPC Endpoint] [*] 3473dd4d-2e88-4006-9cba-22570909dd10 v5.0 LRPC (W32TIME_ALT) [WinHttp Auto-Proxy Service] [*] 3473dd4d-2e88-4006-9cba-22570909dd10 v5.0 PIPE (\PIPE\W32TIME_ALT) \\NEWFENETRE [WinHttp Auto-Proxy Service] [*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 LRPC (OLE6FEEA457543D4BC6A6ADDDFCD932) [ICF+ FW API] [*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 PIPE (\PIPE\wkssvc) \\NEWFENETRE [ICF+ FW API] [*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 PIPE (\pipe\keysvc) \\NEWFENETRE [ICF+ FW API] [*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 LRPC (keysvc) [ICF+ FW API] [*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 LRPC (SECLOGON) [ICF+ FW API] [*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 LRPC (senssvc) [ICF+ FW API] [*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 PIPE (\PIPE\srvsvc) \\NEWFENETRE [ICF+ FW API] [*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 PIPE (\pipe\trkwks) \\NEWFENETRE [ICF+ FW API] [*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 LRPC (trkwks) [ICF+ FW API] [*] 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 LRPC (OLE8E43906A00C145BEB5B33A115EC2) [*] 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 LRPC (INETINFO_LPC) [*] 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 TCP (1043) 192.70.106.151 [*] 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 PIPE (\PIPE\INETINFO) \\NEWFENETRE [*] 12345678-1234-abcd-ef00-0123456789ab v1.0 PIPE (\PIPE\lsass) \\NEWFENETRE [IPSec Policy agent endpoint] [*] 12345678-1234-abcd-ef00-0123456789ab v1.0 LRPC (audit) [IPSec Policy agent endpoint] [*] 12345678-1234-abcd-ef00-0123456789ab v1.0 LRPC (securityevent) [IPSec Policy agent endpoint] [*] 12345678-1234-abcd-ef00-0123456789ab v1.0 LRPC (protected_storage) [IPSec Policy agent endpoint] [*] 12345678-1234-abcd-ef00-0123456789ab v1.0 PIPE (\PIPE\protected_storage) \\NEWFENETRE [IPSec Policy agent endpoint] [*] 12345678-1234-abcd-ef00-0123456789ab v1.0 LRPC (dsrole) [IPSec Policy agent endpoint] [*] 12345778-1234-abcd-ef00-0123456789ac v1.0 PIPE (\PIPE\lsass) \\NEWFENETRE [*] 12345778-1234-abcd-ef00-0123456789ac v1.0 LRPC (audit) [*] 12345778-1234-abcd-ef00-0123456789ac v1.0 LRPC (securityevent) [*] 12345778-1234-abcd-ef00-0123456789ac v1.0 LRPC (protected_storage) [*] 12345778-1234-abcd-ef00-0123456789ac v1.0 PIPE (\PIPE\protected_storage) \\NEWFENETRE [*] 12345778-1234-abcd-ef00-0123456789ac v1.0 LRPC (dsrole) [*] 12345778-1234-abcd-ef00-0123456789ac v1.0 TCP (1036) 192.70.106.151 [*] 906b0ce0-c70b-1067-b317-00dd010662da v1.0 LRPC (LRPC0000056c.00000001) [*] Auxiliary module execution completed msf auxiliary(endpoint_mapper) > Plusieurs changements sont toutefois possibles depuis Windows Server 2003 Service Pack 1 et Windows XP Service Pack 2. Les entrées du Registre RestrictRemoteClients et EnableAuthEpResolution dans la sous-clé de Registre suivante HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC permettent en effet de modifier le comportement de toutes les interfaces RPC du système de manière à éliminer les accès anonymes distants aux interfaces RPC. Ces restrictions sont cependant limitées et ne concernent pas les clients RPC qui utilisent la séquence de protocole des canaux nommés ncacn_np (RPC sur SMB). 3- Commande PortQry ======================================================================== La commande PortQry peut par ailleurs être utilisée pour lister l'ensemble des points finaux actuellement inscrits auprès du mappeur de point final RPC. Par exemple, la commande PortQry exécutée localement en TCP sur le port 135 d'un Windows Server 2003 renvoie les informations suivantes : C:\>portqry -n 192.70.106.151 -e 135 -p tcp Querying target system called: 192.70.106.151 Attempting to resolve IP address to a name... IP address resolved to newfenetre TCP port 135 (epmap service): LISTENING Querying Endpoint Mapper Database... Server's response: UUID: 3c4728c5-f0ab-448b-bda1-6ce01eb0a6d5 DHCP Client LRPC Endpoint ncalrpc:[dhcpcsvc] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[OLEDE7847504D6A449C8B3792E1577A] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncalrpc:[LRPC000007b8.00000001] UUID: 2f5f6521-cb55-1059-b446-00df0bce31db Unimodem LRPC Endpoint ncacn_np:\\\\NEWFENETRE[\\pipe\\tapsrv] [etc.] UUID: 12345778-1234-abcd-ef00-0123456789ac ncalrpc:[dsrole] UUID: 12345778-1234-abcd-ef00-0123456789ac ncacn_ip_tcp:192.70.106.151[1027] UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint ncacn_np:\\\\NEWFENETRE[\\PIPE\\lsass] [etc.] UUID: 906b0ce0-c70b-1067-b317-00dd010662da ncacn_ip_tcp:192.70.106.151[1025] Total endpoints found: 43 ==== End of RPC Endpoint Mapper query response ==== La sortie renvoie donc les services ou les programmes qui ont été inscrits auprès de la base de données du mappeur de point final RPC sur le serveur cible. La sortie inclue l'identificateur unique universel UUID de chaque programme, le nom annoté (s'il en existe un), le protocole utilisé par chaque programme, l'adresse de réseau à laquelle le programme est lié et le point final du programme entre crochets. 4- Petite synthèse de la correspondance entre UUID et services ======================================================================== Voici donc ci-dessous une synthèse faisant la correspondance entre les UUID couramment utilisés avec leur nom et la description du service : UUID Description (service Win32) ---- --------------------------- 000001a0-0000-0000-c000-000000000046 epmapper - RemoteGet ClassObject - ISystemActivator (IRemoteSCMActivator) 04fcb220-fcfd-11cd-bec8-00aa0047ae4e Gopher publishing service 06bba54a-be05-49f9-b0a0-30f790261023 Windows Security Center 06ed1d30-d3d3-11cd-b80e-00aa004b9c30 Microsoft Exchange System Attendant Service 0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53 Scheduler Service (Svchost.exe) idletask 0b0a6584-9e0f-11cf-a3cf-00805f68cb1b localepmp 0d72a7d4-6148-11d1-b4aa-00c04fb66ea0 Cryptographic services - Keysvc (CryptSvc) ICertProtect 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde Microsoft Exchange Information Store v1 1088a980-eae5-11d0-8d9b-00a02453c337 Microsoft Windows Message Queue Management Service - MS-MQQM 10f24e8e-0fa6-11d2-a910-00c04f990f3b Microsoft Exchange Information Store v1 11220835-5b26-4d94-ae86-c3e475a809de Protected Storage (lsass.exe) ICryptProtect 12345678-1234-abcd-ef00-0123456789ab IPsec Services (PolicyAgent) 12345678-1234-abcd-ef00-0123456789ab Spooler service (spoolsv.exe) 12345778-1234-abcd-ef00-0123456789ab LSA access (lsarpc) (lsass.exe) 12345778-1234-abcd-ef00-0123456789ac SAM access (samr) (lsass.exe) 12345678-1234-abcd-ef00-01234567cffb Net Logon service (Netlogon) 12b81e99-f207-4a4c-85d3-77b42f76fd14 Secondary logon service (Seclogon) 130ceefb-e466-11d1-b78b-00c04fa32883 Active Directory ISM IP Transport - ismip.dll - Microsoft Inter-site Messaging Service 1453c42c-0fa6-11d2-a910-00c04f990f3b Microsoft Exchange Information Store v1 1544f5e0-613c-11d1-93df-00c04fd7bd09 MS Exchange Directory RFR v1 16e0cf3a-a604-11d0-96b1-00a0c91ece30 Microsoft Active Directory Backup and Restore Services (MS-AD-BR) 17fdd703-1827-4e34-79d4-24a55c53bb37 msgsvc - Microsoft Messenger Service 18f70770-8e64-11cf-9af1-0020af6e72f4 sclogonrpc et IuserProfile 1a190310-bb9c-11cd-90f8-00aa00466520 Microsoft Exchange Database Service 1a77dcb2-97b3-4ffb-9ee7-8f42529841ab MMC ISA 1a9134dd-7b39-45ba-ad88-44d01ca47f28 Message Queue Service 1be617c0-31a5-11cf-a7d8-00805f48a135 POP3 service (pop3svc.dll) - Exchange 1cbcad78-df0b-4934-b558-87839ea501c9 Microsoft Active Directory DSROLE Service 1d55b526-c137-46c5-ab79-638f2a68e869 DbgIdl (help debugging of RPC services) 1ff70682-0a51-30e8-076d-740be8cee98b Scheduler service - atsvc (mstask.exe) 20610036-fa22-11cf-9823-00a0c911e5df Routing and Remote Access Service (rasmans) 2465e9e0-a873-11d0-930b-00a0c90ab17c IMAP4 service (imap4svc.dll) - Exchange 2f59a331-bf7d-48cb-9ec5-7c090d76e8b8 Terminal Server Service 2f5f3220-c126-1076-b549-074d078619da nddeapi 2f5f6520-ca46-1067-b319-00dd010662da Telephony service (Tapisrv) 2f5f6521-cb55-1059-b446-00df0bce31db Unimodem LRPC Endpoint 300f3532-38cc-11d0-a3f0-0020af6b0add Distributed Link Tracking Client (Trkwks) 326731e3-c1c0-4a69-ae20-7d9044a4ea5c Winlogon IUserProfile (2003) 338cd001-2244-31f1-aaaa-900038001003 Remote registry service (winreg) (RemoteRegistry) 342cfd40-3c6c-11ce-a893-08002b2e9c6d License Logging service (llssrv.exe) 3473dd4d-2e88-4006-9cba-22570909dd1 WinHttp Auto-Proxy Service 367abb81-9844-35f1-ad32-98f038001003 SVCCTL RPC interface for the remotable NetService 367aeb81-9844-35f1-ad32-98f038001003 Services control manager SCM (svcctl) (services.exe) 369ce4f0-0fdc-11d3-bde8-00c04f8eee78 Userenv (winlogon.exe) Profile Mapper pmapapi 378e52b0-c0a9-11cf-822d-00aa0051e40f Scheduler Service (Svchost.exe) sasec 38a94e72-a9bc-11d2-8faf-00c04fa378ff MS Exchange MTA 'QAdmin' v1 3919286a-b10c-11d0-9ba8-00c04fd92ef5 LSA DS access (dssetup - Directory Services Setup) (lsass.exe) 3919286a-b10c-11d0-9ba8-00c04fd92ef5 Lsarpc - LsaClear AuditLog 3c4728c5-f0ab-448b-bda1-6ce01eb0a6d5 RpcSrvDHCPC 3c4728c5-f0ab-448b-bda1-6ce01eb0a6d6 dhcpcsvc6 3dde7c30-165d-11d1-ab8f-00805f14db40 CryptoAPI - Protected storage service BackupKey 3d267954-eeb7-11d1-b94e-00c04fa3080d Terminal Server Licensing (lserver.exe) 3f99b900-4d87-101b-99b7-aa0004007f07 SQL Server 3faf4738-3a21-4307-b46c-fdda9bb8c0d5 Windows Audio service (AudioSrv) 41208ee0-e970-11d1-9b9e-00e02c064c39 Microsoft Windows Message Queue Management Service - MS-MQQM 412f241e-c12a-11ce-abff-0020af6e7a17 ISCM 41f5fae1-e0ac-414c-a721-0d287466cb23 Exchange 2007 Port 1155 45776b01-5956-4485-9f80-f428f7d60129 DNS Client Service (XP et après) 45f52c28-7f9f-101a-b52b-08002b2efabe WINS service (wins.exe) winsif 469d6ec0-0d87-11ce-b13f-00aa003bac6c MS Exchange System Attendant Public v16 4825ea41-51e3-4c2a-8406-8f2d2698395f Winlogon IProfileDialog (2003) 4b112204-0e19-11d3-b42b-0000f81feb9f SSDP service (ssdpsrv) 4b324fc8-1670-01d3-1278-5a47bf6ee188 Server service (srvsvc) (lsass.exe) 4da1c422-943d-11d1-acae-00c04fc2aa3f Distributed Link Tracking Client (Trkwks) 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57 epmapper - Remote activation - IRemoteActivation (IActivation) 4f82f460-0e21-11cf-909e-00805f48a135 NNTP service (ntpsvc.dll) 4fc742e0-4a10-11cf-8273-00aa004ae673 Distributed File System service (Dfssvc) 506b1890-14c8-11d1-bbc3-00805fa6962e CA BrightStor Message Engine (msgeng.exe) 50abc2a4-574d-40b3-9d66-ee4fd5fba076 DNS Server (dns.exe) 53e75790-d96b-11cd-ba18-08002b2dfead WWW publishing service 57674cd0-5200-11ce-a897-08002b2e9c6d License Logging service 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc Messenger service (messenger) msgsvcsend 5b5b3580-b0e0-11d1-b92d-0060081e87f0 Microsoft Windows Message Queue Management Service - MS-MQQM 5b821720-f63b-11d0-aad2-00c04fc324db DHCP server dhcpsrv2 5c89f409-09cc-101a-89f3-02608c4d2361 FTP publishing service 5ca4a760-ebb1-11cf-8611-00a0245420ed Terminal Services remote management (termsrv.exe) 5cbe92cb-f4be-45c9-9fc9-33e73e557b20 Protected Storage (lsass.exe) PasswordRecovery 621dff68-3c39-4c6c-aae3-e68e2c6503ad Wireless Configuration service (wzcsvc) 629b9f66-556c-11d1-8dd2-00aa004abd5e System Event Notification Service (senssvc) SensNotify 63fbe424-2029-11d1-8db8-00aa004abd5e System Event Notification Service (senssvc) SensApi 64fe0b7f-9ef5-4553-a7db-9a1975777554 FwIdl 65a93890-fab9-43a3-b2a5-1e330ac28f11 DNS Client Service (2000) 67df7c70-0f04-11ce-b13f-00aa003bac6c Microsoft Exchange System Attendant Service 68b58241-c259-4f03-a2e5-a2651dcbc930 Cryptographic services keySvc (CryptSvc2) 68dcd486-669e-11d1-ab0c-00c04fc2dcd2 Inter-site Messaging service (ismserv.exe process) 6bffd098-a112-3610-9833-012892020162 Computer Browser Service (Browser) 6bffd098-a112-3610-9833-46c3f874532d DHCP Server dhcpsrv 6bffd098-a112-3610-9833-46c3f87e345a Workstation service (wkssvc) (lsass.exe) 70b51430-b6ca-11d0-b9b9-00a0c922e750 IMSAdminBaseW - Microsoft Internet Information Server COM GUID/UUID Service 76d12b80-3467-11d3-91ff-0090272f9ea3 Microsoft Windows Message Queue Management Service - MS-MQQM 7c44d7d4-31d5-424c-bd5e-2b3e1f323d22 Active Directory dsaop Interface 7e048d38-ac08-4ff1-8e6b-f35dbab88d4a Message Queue Service 811109bf-a4e1-11d1-ab54-00a0c91e9b45 WINS service - winsi2 82273fdc-e32a-18c3-3f78-827929dc23ea Eventlog service (Eventlog) 82ad4280-036b-11cf-972c-00aa006887b0 inetinfo - IISAdmin service (infocomm.dll) 8384fc47-956a-4d1e-ab2a-1205014f96ec Exchange 2007 Port 1155 83d72bf0-0d89-11ce-b13f-00aa003bac6c MS Exchange System Attendant Private v6 83da7c00-e84f-11d2-9807-00c04f8ec850 Windows File Protection (winlogon.exe) 86d35949-83c9-4044-b424-db363231fd0c ITaskSchedulerService 894de0c0-0d55-11d3-a322-00c04fa321a1 (Remote) system shutdown (winlogon.exe) 89742ace-a9ed-11cf-9c0c-08002be7ae86 Exchange Server STORE ADMIN v2 8c7daf44-b6dc-11d1-9a4c-0020af6e7c57 Application Management service 8cfb5d70-31a4-11cf-a7d8-00805f48a135 SMTP service (smtpsvc.dll) 8d0ffe72-d252-11d0-bf8f-00c04fd9126b Cryptographic services keySvc (CryptSvc) 8d9f4e40-a03d-11ce-8f69-08003e30051b Plug and Play service (services.exe) 8f09f000-b7ed-11ce-bbd2-00001a181cad Routing and Remote Access service (mprdim.dll) 8fb6d884-2388-11d0-8c35-00c04fda2795 Windows Time (w32time) 906b0ce0-c70b-1067-b317-00dd010662da Microsoft Distributed Transaction Coordinator Service (MS-DTC) - SMTP service IIS 91ae6020-9e3c-11cf-8d7c-00aa00c091be Certificate service (certsrv.exe) 93149ca2-973b-11d1-8c39-00c04fb984f9 Security Configuration Editor (SCE) (services.exe) 93841fd0-16ce-11ce-850d-02608c44967b Veritas Backup Exec / TCP port 6106 95958c94-a424-4055-b62b-b7f4d5c47770 Winlogon IRPCSCLogon (2003) 97f83d5c-1994-11d1-a90d-00c04fb960f8 InetInfo 99e64010-b032-11d0-97a4-00c04fd6551d Exchange Server STORE ADMIN v3 99fcfec4-5260-101b-bbcb-00aa0021347a IOXIDResolver (IObjectExporter) 9b8699ae-0e44-47b1-8e7f-86a461d7ecdc DCOM Server Process Launcher 9e8ee830-4459-11ce-979b-00aa005ffebe MS Exchange MTA v2 a002b3a0-c9b7-11d1-ae88-0080c75e4ec1 Winlogon (winlogon.exe) GetUserToken a00c021c-2be2-11d2-b678-0000f87a8f8e Microsoft File Replication Service a4f1db00-ca47-1067-b31e-00dd010662da Exchange Server STORE ADMIN v1 a4f1db00-ca47-1067-b31f-00dd010662da Magasin (port par defaut 6001) - MAPI a4f1db00-ca47-1067-b31f-00dd010662da Exchange Server STORE EMSMDB v0 a520d06e-11de-11d2-ab59-00c04fa3590c InetInfo a9b96d49-2c75-4917-a178-06b6f08261cc ISASTGCTRL a9e69612-b80d-11d0-b9b9-00a0c922e750 IADMCOMSINK - Microsoft Internet Information Server COM GUID/UUID Service aae9ac90-ce13-11cf-919e-08002be23c64 DNS Server afa8bd80-7d8a-11c9-bef4-08002b102989 Remote Management Interface b347203c-14bb-4878-8b7a-0a12f9b8076a ISA MMC b3df47c0-a95a-11cf-aa26-00aa00c148b9 Replication Between 2 CSS Servers b4757e80-a0e4-46b4-876a-3ae4a548ee07 Exchange 2007 Port 1155 b9e79e60-3d52-11ce-aaa1-00006901293f IROT - access the Running Object Table (ROT) bd5790c9-d855-42b0-990f-3dfed8c184b3 Exchange 2007 Port 1155 c386ca3e-9061-4a72-821e-498d83be188f Windows Audio Service Audiorpc c681d488-d850-11d0-8c52-00c04fd90f7e EFS c6f3ee72-ce7e-11d1-b71e-00c04fc3111a IMachineActivatorControl c8cb7687-e6d3-11d2-a958-00c04f682e16 WebDAV client (WebClient) c9378ff1-16f7-11d0-a0b2-00aa0061426a Protected Storage (lsass.exe) IPStoreProv d049b186-814f-11d1-9a3c-00c04fc9b232 Microsoft File Replication Service d335b8f6-cb31-11d0-b0f9-006097ba4e54 IPSEC Policy Agent (Windows 2000) (PolicyAgent) d3fbb514-0e3b-11cb-8fad-08002b1d29c3 NsiC d6d70ef0-0e3b-11cb-acc3-08002b1d29c3 RPC Locator service (locator.exe) - NsiS d6d70ef0-0e3b-11cb-acc3-08002b1d29c4 RPC Locator service (locator.exe) - NsiM d7f9e1c0-2247-11d1-ba89-00c04fd91268 DNS Server e1af8308-5d1f-11c9-91a4-08002b14a0fa RPC endpoint mapper (RpcSs) - epmp e3514235-4b06-11d1-ab04-00c04fc2dcd2 Active Directory replication (drsuapi) e60c73e6-88f9-11cf-9af1-0020af6e72f4 Local IOXIDResolver - ILocalObjectExporter e67ab081-9844-3521-9d32-834f038001c0 nwwks Client Service for NetWare ea0a3165-4834-11d2-a6f8-00c04fa346cc Fax Service ecec0d70-a603-11d0-96b1-00a0c91ece30 Microsoft Active Directory Backup and Restore Services (MS-AD-BR) f50aac00-c7f3-428e-a022-a6b71bfb9d43 Cryptographic services atDBSvc (CryptSvc) f5cc5a18-4264-101a-8c59-08002b2f8426 DSProxy (port par defaut 6004) - Répertoire f5cc5a18-4264-101a-8c59-08002b2f8426 MS Exchange Directory NSPI Proxy v56 f5cc5a18-4264-101a-8c59-08002b2f8426 Active Directory Name Service Provider (NSP) f5cc5a7c-4264-101a-8c59-08002b2f8426 Active Directory Extended Directory Service (XDS) f5cc5a7c-4264-101a-8c59-08002b2f8426 Microsoft Exchange Directory Service f5cc59b4-4264-101a-8c59-08002b2f8426 Microsoft Exchange Directory Service f5cc59b4-4264-101a-8c59-08002b2f8426 Microsoft File Replication Service f5e0-613c-11d1-93df-00c04fd7bd09 DSReferral (port par defaut 1544) f930c514-1215-11d3-99a5-00a0c9b61b04 MS Exchange System Attendant Cluster v1 fc13257d-5567-4dea-898d-c6f9c48415a0 Message Queue Service fdb3a030-065f-11d1-bb9b-00a024ea5525 Microsoft Windows Message Queue Management Service - MS-MQQM 5- Références ======================================================================== - Netsh Commands for Remote Procedure Call (RPC) : http://technet.microsoft.com/en-us/library/cc730626.aspx - Windows network services internals - Jean-Baptiste Marchand : http://www.hsc.fr/ressources/articles/win_net_srv/ - Dissection des RPC Windows - Nicolas Pouvesle, Kostya Kortchinsky : http://actes.sstic.org/SSTIC06/Dissection_RPC_Windows/SSTIC06-article-Pouvesle-Dissection_RPC_Windows.pdf http://actes.sstic.org/SSTIC06/Dissection_RPC_Windows/SSTIC06-Pouvesle-Dissection_RPC_Windows.pdf - Fingerprinting Through RPC : http://www.blackhat.com/presentations/win-usa-04/bh-win-04-seki-up2.pdf - Windows systems network services - Jean-Baptiste Marchand : http://www.hsc.fr/ressources/articles/srv_res_win/index.html.en - Authentication Levels : http://msdn.microsoft.com/en-us/library/aa373552(VS.85).aspx (voir notamment l'en-tete Rpcdce.h) - Restriction des interfaces RPC : http://technet.microsoft.com/fr-fr/library/cc781010(WS.10).aspx http://support.microsoft.com/kb/838191 - SMB (NCACN_NP) : http://msdn.microsoft.com/en-us/library/cc243786(PROT.13).aspx ======================================================================== Stéphane Milani - Hervé Schauer Consultants ========================================================================