Słyszałem o RPC i że są one wykonywane przez port TCP 135. Właśnie wykonałem ipconfigza pośrednictwem psexec.exezdalnego komputera i zastanawiałem się, czy to RPC. Jak widziałem w Wireshark, cały proces odbywa się za pośrednictwem portu SMB 445, a nie portu DCE / RPC 135.
Więc tak naprawdę nie rozumiem, czym jest RPC? Czy macie jakieś przykłady na RPC?
Odpowiedzi:
Tak. Psexec wydaje zdalne wywołanie procedury w celu uruchomienia określonego procesu na maszynie zagranicznej z podanymi poświadczeniami.
Chociaż tradycyjnie 445 jest używane dla SMB, a 135 jest używane dla DCOM, oba mogą być używane przez RPC w zależności od specyfiki protokołu i obiektów, które są używane zdalnie.
Z tego powodu szczególnie ważne jest, aby porty 135 i 445 były zablokowane w strefie internetowej.