SMB/RPC协议分析之-命名/匿名管道pipe

2024-05-13 11:20

本文主要是介绍SMB/RPC协议分析之-命名/匿名管道pipe,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在前面的文章中,介绍了SMB协议共享相关的内容,详见我的专栏《网络攻防协议实战分析》,连接这里。在SMB协议中往往需要连接到对应的远程管道,如果你经常接触到SMB协议,相信你对于lsass,svcctl等多种命名管道一定不陌生。那么windows的管道是什么?Windows上还存在着哪些特殊的管道?本文将梳理这些管道,希望对于你学习专栏《SMB攻击流量数据包分析》,这里以及分析SMB,RPC相关流量的时候,有所帮助。

管道定义

管道指的是主机上的一块用于进程之间通信的共享内存,一个进程的输出传输给另一个进程的输入,从而实现了进程之间的数据传输。通常来说管道服务端会创建管道,而管道客户端连接该管道。命名管道可用于主机本地进程之间的通信,也可以用于不同计算机上的不同进程之间的远程通信,关于管道的更多内容详见这里。

管道分类

常见的管道类型包括匿名管道和命名管道,如下:
匿名管道(Anonymous Pipe): 匿名管道是一种最常见的管道类型,用于本地计算机上的进程之间进行通信,不能用于网络之间的通信。它是由操作系统内核自动创建和管理的,通常用于父子进程间之间进行通信。匿名管道是单向的,只能实现一个方向的数据传输。
命名管道(Named Pipe): 命名管道是一种具有持久性的管道,允许不同计算机上的进程进行远程通信。它是通过文件系统中的特殊命名对象来实现的,允许多个进程连接到同一个命名管道并进行通信,例如常见的lsass管道。命名管道可以是单向获或者双向的,能实现双向的数据传输。

命名管道

Windows中有一些内置的命名管道,用于系统和应用程序之间的通信,如下通过dir \\.\pipe\\命令列举本机所有的命名管道:
在这里插入图片描述
一些在SMB流量中经常看到的管道解释如下:

  • \.\pipe:这是系统级管道的根目录,包含了许多系统服务和进程使用的命名管道。例如,.\pipe\lsass是Local Security Authority Subsystem Service(LSASS)使用的管道。
  • .\pipe\lsass:用于与本地安全子系统(Local Security Authority SubsystemService,LSASS)通信,LSASS负责处理登录认证、密码策略等安全相关的功能,SMB流量中会经常看见和lsass协议服务通信的流量,详见《网络攻防协议实战分析》专栏后续的分析。
  • .\pipe\winreg:用于与Windows注册表服务(Windows Registry Service)通信,允许应用程序访问和操作系统的注册表,SMB流量中会经常看见和lsass协议服务通信的流量,详见《网络攻防协议实战分析》专栏后续的分析。
  • .\pipe\svcctl:用于与服务控制管理器(Service Control Manager)通信,允许应用程序创建、修改和管理系统服务,SMB流量中会经常看见和svcctl协议服务通信的流量用来远程启动应用和服务,详见《网络攻防协议实战分析》专栏后续的分析。
  • .\pipe\browser:用于与计算机浏览器服务(Computer Browser Service)通信,负责在网络上发现和维护共享资源列,SMB流量中会经常看见和browser协议服务通信的流量,详见《网络攻防协议实战分析》专栏后续的分析。
  • .\pipe\epmapper:用于与终结点映射器(Endpoint Mapper)通信,EPMapper服务负责映射RPC终结点标识符(RPC Endpoint Identifiers,EPI)到网络地址和端口号,SMB流量中会经常看见和epmapper协议服务通信的流量

上述的命名管道提供了与Windows系统服务和组件进行通信的方式,允许应用程序访问系统资源和执行特定的系统功能。注意,这些命名管道通常对于普通用户不可见,只有系统或特权进程可以访问它们。

匿名管道

匿名管道最常见的使用方式是在命令行的使用中,如下:
在这里插入图片描述
在Windows命令行中,管道通常用于将一个命令的输出传递给另一个命令进行处理。除了命令行中的应用,由于匿名管道只能用于单向数据传输,也可以应用在单向数据传输的父子进程传输等场景中

SMB中管道举例

在前面的文章《SMB协议之-那些隐藏/非隐藏共享share》,这里,介绍的隐藏的share IPC 就是用于远程的命名管道连接的 s h a r e ,通过该接口可以执行远程管理和连接验证。如下将列举通过该 I P C 就是用于远程的命名管道连接的share,通过该接口可以执行远程管理和连接验证。如下将列举通过该IPC 就是用于远程的命名管道连接的share,通过该接口可以执行远程管理和连接验证。如下将列举通过该IPC share连接的管道示例。

命名管道

使用的数据包为dcerpc-winreg-with-rpc-sec-verification-trailer.pcap,下载链接,这里,如下:
在这里插入图片描述
上图可以看到使用RPC协议绑定了winreg命名管道。在命名管道绑定之后,就可以通过该管道发送命令以及接收命令的返回数据了。

使用的数据包为dssetup_DsRoleGetPrimaryDomainInformation_standalone_workstation.cap,下载链接,这里,如下:
在这里插入图片描述
上图可以看到使用RPC协议绑定了lsass命名管道。在命名管道绑定之后,就可以通过该管道发送命令以及接收命令的返回数据了。

以上就是SMB协议中常见share共享的介绍,希望对你日常工作有所帮助。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

这篇关于SMB/RPC协议分析之-命名/匿名管道pipe的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/985562

相关文章

Redis主从/哨兵机制原理分析

《Redis主从/哨兵机制原理分析》本文介绍了Redis的主从复制和哨兵机制,主从复制实现了数据的热备份和负载均衡,而哨兵机制可以监控Redis集群,实现自动故障转移,哨兵机制通过监控、下线、选举和故... 目录一、主从复制1.1 什么是主从复制1.2 主从复制的作用1.3 主从复制原理1.3.1 全量复制

Redis主从复制的原理分析

《Redis主从复制的原理分析》Redis主从复制通过将数据镜像到多个从节点,实现高可用性和扩展性,主从复制包括初次全量同步和增量同步两个阶段,为优化复制性能,可以采用AOF持久化、调整复制超时时间、... 目录Redis主从复制的原理主从复制概述配置主从复制数据同步过程复制一致性与延迟故障转移机制监控与维

Redis连接失败:客户端IP不在白名单中的问题分析与解决方案

《Redis连接失败:客户端IP不在白名单中的问题分析与解决方案》在现代分布式系统中,Redis作为一种高性能的内存数据库,被广泛应用于缓存、消息队列、会话存储等场景,然而,在实际使用过程中,我们可能... 目录一、问题背景二、错误分析1. 错误信息解读2. 根本原因三、解决方案1. 将客户端IP添加到Re

Redis主从复制实现原理分析

《Redis主从复制实现原理分析》Redis主从复制通过Sync和CommandPropagate阶段实现数据同步,2.8版本后引入Psync指令,根据复制偏移量进行全量或部分同步,优化了数据传输效率... 目录Redis主DodMIK从复制实现原理实现原理Psync: 2.8版本后总结Redis主从复制实

锐捷和腾达哪个好? 两个品牌路由器对比分析

《锐捷和腾达哪个好?两个品牌路由器对比分析》在选择路由器时,Tenda和锐捷都是备受关注的品牌,各自有独特的产品特点和市场定位,选择哪个品牌的路由器更合适,实际上取决于你的具体需求和使用场景,我们从... 在选购路由器时,锐捷和腾达都是市场上备受关注的品牌,但它们的定位和特点却有所不同。锐捷更偏向企业级和专

Java如何接收并解析HL7协议数据

《Java如何接收并解析HL7协议数据》文章主要介绍了HL7协议及其在医疗行业中的应用,详细描述了如何配置环境、接收和解析数据,以及与前端进行交互的实现方法,文章还分享了使用7Edit工具进行调试的经... 目录一、前言二、正文1、环境配置2、数据接收:HL7Monitor3、数据解析:HL7Busines

Spring中Bean有关NullPointerException异常的原因分析

《Spring中Bean有关NullPointerException异常的原因分析》在Spring中使用@Autowired注解注入的bean不能在静态上下文中访问,否则会导致NullPointerE... 目录Spring中Bean有关NullPointerException异常的原因问题描述解决方案总结

python中的与时间相关的模块应用场景分析

《python中的与时间相关的模块应用场景分析》本文介绍了Python中与时间相关的几个重要模块:`time`、`datetime`、`calendar`、`timeit`、`pytz`和`dateu... 目录1. time 模块2. datetime 模块3. calendar 模块4. timeit

python-nmap实现python利用nmap进行扫描分析

《python-nmap实现python利用nmap进行扫描分析》Nmap是一个非常用的网络/端口扫描工具,如果想将nmap集成进你的工具里,可以使用python-nmap这个python库,它提供了... 目录前言python-nmap的基本使用PortScanner扫描PortScannerAsync异

Oracle数据库执行计划的查看与分析技巧

《Oracle数据库执行计划的查看与分析技巧》在Oracle数据库中,执行计划能够帮助我们深入了解SQL语句在数据库内部的执行细节,进而优化查询性能、提升系统效率,执行计划是Oracle数据库优化器为... 目录一、什么是执行计划二、查看执行计划的方法(一)使用 EXPLAIN PLAN 命令(二)通过 S