RpcView简介
2021-10-27 17:59:11 Author: blog.nsfocus.net(查看原文) 阅读量:41 收藏

阅读: 19

一、RpcView

参[3]

1、 下载RpcView源码

先用git下载RpcView源码,大概13MB。

$ https_proxy=socks5://<ip>:<port> git clone https://github.com/silverf0x/RpcView.git RpcView

2、 Visual Studio 2019 社区版

VS 2019社区版自带git、cmake,不需要下载安装它们,就用自带的。没让它们出现在PATH环境变量中,不喜欢动动辄往PATH中加东西。

3、Qt 5.15.2

参[4]

不确认其他Qt版本行不行,反正RpcView作者写的是VS 2019+Qt 5.15.2。

Qt 5.15不再提供离线安装包。有人从5.15.2源码自行编译,编译Windows版比较费劲,没这刚需,我选用在线安装包。

https://www.qt.io/download-qt-installer

在线安装包大约23MB。在线安装需要user/pass。

为编译RpcView只需很少的Qt组件,选中这些项。

安装到C:\Qt,装完大约2.3GB。在线安装结束后想补充安装或卸载组件,双击执行C:\Qt\MaintenanceTool.exe。

4、 编译RpcView源码

在源码根目录自行创建Build子目录,其下有x86、x64两个子目录。

mkdir Build\x86

mkdir Build\x64

4.1 编译64位RpcView

我不想动PATH环境变量,用VS 2019自带cmake,为编译RpcView只需cl这些命令行工具,用不上GUI。打开”x64 Native Tools Command Prompt for VS 2019″

实际只能生成RpcView.exe,最重要的RpcDecompiler.dll未能生成,编译时提示

就是说,当前代码页是936,但internalRpcDecompTypeDefs.h的698行附近出现超范围字符。这本来是”warning C4819″,由于启用了/WX编译选项,变成”error C2220″,导致RpcDecompiler.dll未能生成。

检视源码发现,超范围字符都在注释中,不影响二进制。最简办法是修改源码根目录下的CMakeLists.txt,删掉/WX编译选项

下面几种办法无法解决上述问题

执行第二条cmake命令重新编译

$ dir /B bin\Release\*.exe bin\Release\*.dll

RpcView.exe

RpcCore1_32bits.dll

RpcCore2_32bits.dll

RpcCore2_64bits.dll

RpcCore3_32bits.dll

RpcCore3_64bits.dll

RpcCore4_32bits.dll

RpcCore4_64bits.dll

RpcDecompiler.dll

4.2 运行自编译64位RpcView

cd /d Z:\work\RpcView\Build\x64\bin\Release

mkdir Green\platforms

copy *.exe Green

copy *.dll Green

copy C:\Qt\5.15.2\msvc2019_64\bin\Qt5Core.dll Green

copy C:\Qt\5.15.2\msvc2019_64\bin\Qt5Gui.dll Green

copy C:\Qt\5.15.2\msvc2019_64\bin\Qt5Widgets.dll Green

copy C:\Qt\5.15.2\msvc2019_64\bin\Qt5WinExtras.dll Green

copy C:\Qt\5.15.2\msvc2019_64\plugins\platforms\qwindows.dll Green\platforms

Z:\work\RpcView\Build\x64\bin\Release\Green\RpcView.exe

$ tree /f /a Green

|   Qt5Core.dll

|   Qt5Gui.dll

|   Qt5Widgets.dll

|   Qt5WinExtras.dll

|   RpcCore1_32bits.dll

|   RpcCore2_32bits.dll

|   RpcCore2_64bits.dll

|   RpcCore3_32bits.dll

|   RpcCore3_64bits.dll

|   RpcCore4_32bits.dll

|   RpcCore4_64bits.dll

|   RpcDecompiler.dll

|   RpcView.exe

|

\—platforms

        qwindows.dll

参[5],作者演示了一种偷懒的布署方式

cd /d Z:\work\RpcView\Build\x64\bin\Release

mkdir RpcView64

copy *.exe RpcView64

copy *.dll RpcView64

C:\Qt\5.15.2\msvc2019_64\bin\windeployqt.exe –release RpcView64

windeployqt.exe会向RpcView64子目录复制Qt的库文件,用不用得上都复制过去。

4.3 编译32位RpcView

假设已经修改过根目录下的CMakeLists.txt

打开”x86 Native Tools Command Prompt for VS 2019″

cd /d Z:\work\RpcView\Build\x86

set CMAKE_PREFIX_PATH=C:\Qt\5.15.2\msvc2019\

cmake ../../ -A win32

cmake –build . –config Release

$ dir /B bin\Release\*.exe bin\Release\*.dll

RpcView.exe

RpcCore1_32bits.dll

RpcCore2_32bits.dll

RpcCore3_32bits.dll

RpcCore4_32bits.dll

RpcDecompiler.dll

4.4 运行自编译32位RpcView

cd /d Z:\work\RpcView\Build\x86\bin\Release

mkdir Green\platforms

copy *.exe Green

copy *.dll Green

copy C:\Qt\5.15.2\msvc2019\bin\Qt5Core.dll Green

copy C:\Qt\5.15.2\msvc2019\bin\Qt5Gui.dll Green

copy C:\Qt\5.15.2\msvc2019\bin\Qt5Widgets.dll Green

copy C:\Qt\5.15.2\msvc2019\bin\Qt5WinExtras.dll Green

copy C:\Qt\5.15.2\msvc2019\plugins\platforms\qwindows.dll Green\platforms

Z:\work\RpcView\Build\x86\bin\Release\Green\RpcView.exe

$ tree /f /a Green

|   Qt5Core.dll

|   Qt5Gui.dll

|   Qt5Widgets.dll

|   Qt5WinExtras.dll

|   RpcCore1_32bits.dll

|   RpcCore2_32bits.dll

|   RpcCore3_32bits.dll

|   RpcCore4_32bits.dll

|   RpcDecompiler.dll

|   RpcView.exe

|

\—platforms

        qwindows.dll

5、为什么需要编译RpcView源码

https://github.com/silverf0x/RpcView

此处提供预编译好的RpcView,若在测试环境中直接可用,则无需自编译源码。参[5],执行预编译版本很可能遭遇这个提示。

修改这几个文件

Z:\work\RpcView\RpcCore\RpcCore4_64bits\RpcInternals.h

Z:\work\RpcView\RpcCore\RpcCore4_32bits\RpcInternals.h

假设测试环境中rpcrt4.dll的版本是10.0.14393.4704,需要在如下数组中增加这个版本信息。

这是某个Win10环境,若是其他OS其他rpcrt*.dll,找相应文件做类似修改。

RpcCore1 for Windows XP

RpcCore2 for Windows 7

RpcCore3 for Windows 8

RpcCore4 for Windows 8.1 and 10

cmake –build . –config Release

重新编译、运行。

6、Patch RpcView

RpcView的版本检查相当保守。该软件在做Hacking,这么保守可以理解,避免进程崩溃么。但它这种搞法,每打一次rpcrt4.dll相关的补丁,就得自编译,有些受不了。

作者提到

对于Win10,在可以想见的相当长的时间范围内,都不需要重新逆向rpcrt4.dll去适配相关数据结构,仅仅是一个版本检查的事儿。假设手头有预编译版RpcView,着急在测试环境中用,完全可以进行二进制Patch。

$ ls -l RpcCore4*.dll

-rwxrwxrwx 1 scz scz 27648 Nov  9  2017 RpcCore4_32bits.dll

-rwxrwxrwx 1 scz scz 27648 Nov  9  2017 RpcCore4_64bits.dll

$ sha256sum RpcCore4*.dll

3a7ec71fc68fd5644269961187c7fc5e27f97c8655435cf0775670d348dbb327  RpcCore4_32bits.dll

3ec945caaeab442477823125d23b9f0f80bb1ec1e8c1581dd5ecd6c0965a0cca  RpcCore4_64bits.dll

将10.0.10240.16384这种古老版本换成10.0.14393.4704

0xA000028004000LL,  //10.0.10240.16384

0xA000038391260LL,  //10.0.14393.4704

$ python3 -c “import sys;x=sys.argv[1];print(”.join(map(str.__add__,x[-2::-2],x[-1::-2])))” 0A000028004000

0040002800000A

$ python3 -c “import sys;x=sys.argv[1];print(”.join(map(str.__add__,x[-2::-2],x[-1::-2])))” 0A000038391260

6012393800000A

用WinHex打开RpcCore4_64bits.dll、RpcCore4_32bits.dll,搜索”0040002800000A”,

将之替换成”6012393800000A”。

$ fc /b RpcCore4_32bits.dll.orig RpcCore4_32bits.dll

00005AC0: 00 60

00005AC1: 40 12

00005AC2: 00 39

00005AC3: 28 38

$ fc /b RpcCore4_64bits.dll.orig RpcCore4_64bits.dll

00005AC0: 00 60

00005AC1: 40 12

00005AC2: 00 39

00005AC3: 28 38

执行Patch过的预编译RpcView成功。

7、使用RpcView

参[5],我是看到这篇才注意到RpcView的,毕竟很多年不挖洞。

a) 以管理员身份运行RpcView.exe,在Process框中找目标进程,比如lsass.exe

b) 在Interfaces框中选接口,Procedures框中出现相应接口的远程过程列表

c) 在Interfaces框中选中某个接口后,右键Decompile,在Decompilation框中出现相应接口的IDL

d) RpcView支持微软符号,[5]的作者说不支持符号服务器,只支持符号目录,可能得提前下载符号

   Options->Configure Symbols->

   srv*z:\sym*http://msdl.microsoft.com/download/symbols

RpcView生成的IDL不错。十几年前自己写过rpcdig.idc,用来挖MS/DCE RPC的洞。后来开发Nessus的Tenable公司公开过一个IDA插件mIDA,从PE中逆向生成IDL,效果非常好,风靡一时。

https://github.com/tenable/mIDA

https://github.com/sourceincite/tools/tree/master/pymsrpc/mIDA

mIDA only works with the Windows GUI version of IDA (5.2 or later).

mIDA是C++写的,后来没再更新过,估计早已不能适配高版本IDA。RpcView是个很不错的替代品。

我现在拿RpcView当交互式调试工具用,不挖洞、不Fuzz,但更多人可能有RPC挖洞需求,[5]值得一阅,早看过的当我没说。

下次举例写一下如何用RpcView辅助调试。

8、命令行参数

多看一眼RpcCore.c中RpcCoreInit(),注意该函数有个形参bForce,当其为真时进行掩码式版本检查,只要大版本接近就认为版本检查通过,比如10.0.x.x都算同一个版本。顺藤摸瓜,在RpcView.cpp中wWinMain()看到两个命令行参数

/f  force loading for unsupported runtime versions

/DA decompile all interfaces

/f同时在main()、wWinMain()中,可以直接用。不必修改RpcInternals.h,直接编译git回来的源码,指定/f执行

Z:\work\RpcView\Build\x64\bin\Release\Green\RpcView.exe /f

前面不该吐槽RpcView的版本检查,人家洗心革面过。

/DA只在main()中,不能直接用。DecompileAllInterfaces()向控制台输出,如有此类需求,启用_DEBUG宏,编译CLI版本。

8.1 预编译版本不支持/f参数

预编译RpcView用的源码比git旧,不支持/f参数,IDA反编译确认。自编译RpcView的价值体现出来了。

参考资源

[3] RpcView

https://github.com/silverf0x/RpcView

    (a tool to explore and decompile all RPC functionalities)

[4] Qt

https://download.qt.io/archive/qt/

https://download.qt.io/archive/qt/5.15/5.15.2/

https://www.qt.io/download-qt-installer

    (qt-unified-windows-x86-4.1.1-online.exe)

[5] 尝试进行RPC漏洞挖掘 – houjingyi [2019-01-09]

https://cert.360.cn/report/detail?id=44669690fc7a8daab42472cebd8cfb88

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/rpcview-nsfocus/
如有侵权请联系:admin#unsafe.sh