HSC - Brève - Brève sur les interfaces RPC Windows

Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Vous êtes ici : Accueil > Ressources > Brèves > Brève sur les interfaces RPC Windows
Accéder au : Site HSC des formations
Services
			Domaines de compétences
			Conseil & Expertise
			Prestations ISO 27001
			Audit & Évaluation
			Tests d'intrusion
			Tests de vulnérabilités (TSAR)
			Analyse Forensique
			Certification ARJEL
			Formations
			E-learning
Conférences
			Agenda
			Interventions passées
			Tutoriels
Ressources
			Index thématique
			Brèves
			Présentations
			Cours
			Articles
			Outils (téléchargement)
			Veille en vulnérabilité
Société
			Hervé Schauer
			Equipe
			Offres d'emploi
			Références
			Historique
			Partenariats
			Associations
Presse et
communication
			Newsletter HSC
			Revue de presse
			Communiqués de presse
			Publications
Contacts
			Coordonnées
			Requêtes particulières
			Accès à nos locaux
			Hôtels proches de nos locaux

		Brève sur les interfaces RPC Windows
`par Stéphane Milani (20/01/10)`



========================================================================
Brève présentant les interfaces RPC Windows et leur UUID correspondant
========================================================================

1- Présentation succinte
========================================================================

Sur le port 135 (TCP et UDP) se trouve le service portmapper RPC de 
Windows ainsi que le gestionnaire de contrôle de services COM (COM SCM). 
Afin de connaître les services RPC présents sur le système, l'outil
Metasploit 3.3 peut être utilisé avec les modules auxiliaires 
pipe_dcerpc_auditor (scanner/smb/pipe_dcerpc_auditor) et endpoint_mapper 
(scanner/dcerpc/endpoint_mapper). Ceci permet de lister à distance 
les interfaces RPC accessibles anonymement et présentes sur la machine.

Chaque service RPC est identifié par un identifiant d'interface UUID 
(Universal Unique Identifier / identificateur unique universel). 
En fonction des résultats précédents, il est possible de connaître les 
services présents sur la machine.

Le service RPC se configure lui-même dans le Registre avec un UUID de 
128 bits qui est réservé à ce service et commun quelle que soit la 
plate-forme.

Quand un client veut communiquer avec un service RPC particulier, il se 
connecte d'abord au service portmapper et demande à communiquer avec le 
service dont il donne l'UUID. Le portmapper retourne le numéro de port 
correspondant à l'UUID fourni par le client et ferme la connexion le 
concernant. Ce dernier peut ensuite se connecter au service voulu en 
établissant une nouvelle connexion avec le port que lui a fourni le 
portmapper. Ce port restera alors inchangé pour toute la durée 
d'exécution du service. Par défaut, les ports dynamiques ont un 
numéro supérieur à 1024 (Intervalle de 1025 à 5000) sur les versions 
jusqu'à Windows Server 2003. Pour Windows Vista et Windows Server 2008, 
l'intervalle par défaut des ports dynamiques est de 49152 à 65535.

Le service portmapper est en réalité accessible sur deux autres protocoles 
de transport que TCP et UDP car il est aussi accessible sur canaux nommés 
("named pipes") par le canal \pipe\epmapper et dans certaines conditions 
sur HTTP par le port 593 (on est alors au niveau de la couche réseau 
application couche 7).
Voir notamment l'article de Jean-Baptiste 'jbm' Marchand :
http://www.hsc.fr/ressources/articles/win_net_srv/chap_msrpc.html

Aucune base de données officielle et publique ne fait la correspondance 
entre les UUID et les services RPC. Ceci peut être utile lors de tests 
d'intrusion pour savoir quels sont les services lancés sur la machine 
(modules pipe_dcerpc_auditor et endpoint_mapper de Metasploit) ou même 
lors d'audits d'un ISA Server, d'un FireWall-1 ou d'un Juniper avec les 
filtres RPC qui sont mis en place.

Aussi, pour Windows Vista et Windows Server 2008, il est désormais 
possible de filtrer de manière sélective les UUID. Par exemple, pour 
filtrer l'interface du service Server 4b324fc8-1670-01d3-1278-5a47bf6ee188 
(pour éviter par exemple la vulnérabilite MS08-067 ;)), ceci peut être 
fait avec netsh :
netsh>rpc
netsh rpc>filter
netsh rpc filter>add rule layer=um actiontype=block
netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188
netsh rpc filter>add filter
netsh rpc filter>quit

Les filtres mis en place peuvent également être affichés avec netsh :
C:\>netsh rpc filter show filter
Dans le listing apparaît alors le UUID pour le champ "filterKey".


2- Exemple d'utilisation à distance en anonyme avec Metasploit
========================================================================

Voici un exemple de résultat obtenu avec le module auxiliaire endpoint_mapper 
exécuté à distance en anonyme vers un Windows Server 2003 SP2 configuré 
par défaut :

[*] Connecting to the endpoint mapper service... 
[*] 3c4728c5-f0ab-448b-bda1-6ce01eb0a6d5 v1.0 LRPC (dhcpcsvc) [DHCP Client LRPC Endpoint] 
[*] 2f5f6521-cb55-1059-b446-00df0bce31db v1.0 PIPE (\pipe\tapsrv) \\NEWFENETRE [Unimodem LRPC Endpoint] 
[*] 2f5f6521-cb55-1059-b446-00df0bce31db v1.0 LRPC (tapsrvlpc) [Unimodem LRPC Endpoint] 
[*] 2f5f6521-cb55-1059-b446-00df0bce31db v1.0 LRPC (unimdmsvc) [Unimodem LRPC Endpoint] 
[*] 3473dd4d-2e88-4006-9cba-22570909dd10 v5.0 LRPC (W32TIME_ALT) [WinHttp Auto-Proxy Service] 
[*] 3473dd4d-2e88-4006-9cba-22570909dd10 v5.0 PIPE (\PIPE\W32TIME_ALT) \\NEWFENETRE [WinHttp Auto-Proxy Service]
[*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 LRPC (OLE6FEEA457543D4BC6A6ADDDFCD932) [ICF+ FW API] 
[*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 PIPE (\PIPE\wkssvc) \\NEWFENETRE [ICF+ FW API] 
[*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 PIPE (\pipe\keysvc) \\NEWFENETRE [ICF+ FW API] 
[*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 LRPC (keysvc) [ICF+ FW API] 
[*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 LRPC (SECLOGON) [ICF+ FW API] 
[*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 LRPC (senssvc) [ICF+ FW API] 
[*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 PIPE (\PIPE\srvsvc) \\NEWFENETRE [ICF+ FW API] 
[*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 PIPE (\pipe\trkwks) \\NEWFENETRE [ICF+ FW API] 
[*] d674a233-5829-49dd-90f0-60cf9ceb7129 v1.0 LRPC (trkwks) [ICF+ FW API] 
[*] 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 LRPC (OLE8E43906A00C145BEB5B33A115EC2) 
[*] 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 LRPC (INETINFO_LPC) 
[*] 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 TCP (1043) 192.70.106.151 
[*] 82ad4280-036b-11cf-972c-00aa006887b0 v2.0 PIPE (\PIPE\INETINFO) \\NEWFENETRE 
[*] 12345678-1234-abcd-ef00-0123456789ab v1.0 PIPE (\PIPE\lsass) \\NEWFENETRE [IPSec Policy agent endpoint] 
[*] 12345678-1234-abcd-ef00-0123456789ab v1.0 LRPC (audit) [IPSec Policy agent endpoint] 
[*] 12345678-1234-abcd-ef00-0123456789ab v1.0 LRPC (securityevent) [IPSec Policy agent endpoint] 
[*] 12345678-1234-abcd-ef00-0123456789ab v1.0 LRPC (protected_storage) [IPSec Policy agent endpoint] 
[*] 12345678-1234-abcd-ef00-0123456789ab v1.0 PIPE (\PIPE\protected_storage) \\NEWFENETRE [IPSec Policy agent endpoint] 
[*] 12345678-1234-abcd-ef00-0123456789ab v1.0 LRPC (dsrole) [IPSec Policy agent endpoint] 
[*] 12345778-1234-abcd-ef00-0123456789ac v1.0 PIPE (\PIPE\lsass) \\NEWFENETRE 
[*] 12345778-1234-abcd-ef00-0123456789ac v1.0 LRPC (audit)
[*] 12345778-1234-abcd-ef00-0123456789ac v1.0 LRPC (securityevent) 
[*] 12345778-1234-abcd-ef00-0123456789ac v1.0 LRPC (protected_storage) 
[*] 12345778-1234-abcd-ef00-0123456789ac v1.0 PIPE (\PIPE\protected_storage) \\NEWFENETRE 
[*] 12345778-1234-abcd-ef00-0123456789ac v1.0 LRPC (dsrole) 
[*] 12345778-1234-abcd-ef00-0123456789ac v1.0 TCP (1036) 192.70.106.151
[*] 906b0ce0-c70b-1067-b317-00dd010662da v1.0 LRPC (LRPC0000056c.00000001)
[*] Auxiliary module execution completed

msf auxiliary(endpoint_mapper) >


Plusieurs changements sont toutefois possibles depuis Windows Server 2003 
Service Pack 1 et Windows XP Service Pack 2. Les entrées du Registre 
RestrictRemoteClients et EnableAuthEpResolution dans la sous-clé de 
Registre suivante HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC 
permettent en effet de modifier le comportement de toutes les interfaces 
RPC du système de manière à éliminer les accès anonymes distants aux 
interfaces RPC. Ces restrictions sont cependant limitées et ne concernent 
pas les clients RPC qui utilisent la séquence de protocole des canaux 
nommés ncacn_np (RPC sur SMB).


3- Commande PortQry 
========================================================================

La commande PortQry peut par ailleurs être utilisée pour lister l'ensemble 
des points finaux actuellement inscrits auprès du mappeur de point final RPC. 

Par exemple, la commande PortQry exécutée localement en TCP sur le port 
135 d'un Windows Server 2003 renvoie les informations suivantes :

C:\>portqry -n 192.70.106.151 -e 135 -p tcp

Querying target system called:

 192.70.106.151
Attempting to resolve IP address to a name...


IP address resolved to newfenetre


TCP port 135 (epmap service): LISTENING
Querying Endpoint Mapper Database...
Server's response:

UUID: 3c4728c5-f0ab-448b-bda1-6ce01eb0a6d5 DHCP Client LRPC Endpoint
ncalrpc:[dhcpcsvc]

UUID: 906b0ce0-c70b-1067-b317-00dd010662da
ncalrpc:[OLEDE7847504D6A449C8B3792E1577A]

UUID: 906b0ce0-c70b-1067-b317-00dd010662da
ncalrpc:[LRPC000007b8.00000001]

UUID: 2f5f6521-cb55-1059-b446-00df0bce31db Unimodem LRPC Endpoint
ncacn_np:\\\\NEWFENETRE[\\pipe\\tapsrv]

[etc.]

UUID: 12345778-1234-abcd-ef00-0123456789ac
ncalrpc:[dsrole]

UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_ip_tcp:192.70.106.151[1027]

UUID: 12345678-1234-abcd-ef00-0123456789ab IPSec Policy agent endpoint
ncacn_np:\\\\NEWFENETRE[\\PIPE\\lsass]

[etc.]

UUID: 906b0ce0-c70b-1067-b317-00dd010662da
ncacn_ip_tcp:192.70.106.151[1025]

Total endpoints found: 43

==== End of RPC Endpoint Mapper query response ====


La sortie renvoie donc les services ou les programmes qui ont été inscrits 
auprès de la base de données du mappeur de point final RPC sur le serveur 
cible. La sortie inclue l'identificateur unique universel UUID de chaque 
programme, le nom annoté (s'il en existe un), le protocole utilisé par 
chaque programme, l'adresse de réseau à laquelle le programme est lié et 
le point final du programme entre crochets.


4- Petite synthèse de la correspondance entre UUID et services
========================================================================

Voici donc ci-dessous une synthèse faisant la correspondance entre les 
UUID couramment utilisés avec leur nom et la description du service :


	      UUID			Description (service Win32)
	      ----			---------------------------
000001a0-0000-0000-c000-000000000046	epmapper - RemoteGet ClassObject - ISystemActivator (IRemoteSCMActivator)
04fcb220-fcfd-11cd-bec8-00aa0047ae4e	Gopher publishing service
06bba54a-be05-49f9-b0a0-30f790261023    Windows Security Center
06ed1d30-d3d3-11cd-b80e-00aa004b9c30	Microsoft Exchange System Attendant Service
0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53	Scheduler Service (Svchost.exe) idletask
0b0a6584-9e0f-11cf-a3cf-00805f68cb1b	localepmp
0d72a7d4-6148-11d1-b4aa-00c04fb66ea0	Cryptographic services - Keysvc (CryptSvc) ICertProtect
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde	Microsoft Exchange Information Store v1
1088a980-eae5-11d0-8d9b-00a02453c337	Microsoft Windows Message Queue Management Service - MS-MQQM
10f24e8e-0fa6-11d2-a910-00c04f990f3b	Microsoft Exchange Information Store v1
11220835-5b26-4d94-ae86-c3e475a809de    Protected Storage (lsass.exe) ICryptProtect
12345678-1234-abcd-ef00-0123456789ab	IPsec Services (PolicyAgent)
12345678-1234-abcd-ef00-0123456789ab	Spooler service (spoolsv.exe)
12345778-1234-abcd-ef00-0123456789ab	LSA access (lsarpc) (lsass.exe)
12345778-1234-abcd-ef00-0123456789ac	SAM access (samr) (lsass.exe)
12345678-1234-abcd-ef00-01234567cffb    Net Logon service (Netlogon)
12b81e99-f207-4a4c-85d3-77b42f76fd14	Secondary logon service (Seclogon)
130ceefb-e466-11d1-b78b-00c04fa32883	Active Directory ISM IP Transport - ismip.dll - Microsoft Inter-site Messaging Service
1453c42c-0fa6-11d2-a910-00c04f990f3b	Microsoft Exchange Information Store v1
1544f5e0-613c-11d1-93df-00c04fd7bd09	MS Exchange Directory RFR v1
16e0cf3a-a604-11d0-96b1-00a0c91ece30	Microsoft Active Directory Backup and Restore Services (MS-AD-BR)
17fdd703-1827-4e34-79d4-24a55c53bb37	msgsvc - Microsoft Messenger Service
18f70770-8e64-11cf-9af1-0020af6e72f4	sclogonrpc et IuserProfile
1a190310-bb9c-11cd-90f8-00aa00466520	Microsoft Exchange Database Service
1a77dcb2-97b3-4ffb-9ee7-8f42529841ab	MMC ISA
1a9134dd-7b39-45ba-ad88-44d01ca47f28	Message Queue Service
1be617c0-31a5-11cf-a7d8-00805f48a135	POP3 service (pop3svc.dll) - Exchange
1cbcad78-df0b-4934-b558-87839ea501c9	Microsoft Active Directory DSROLE Service
1d55b526-c137-46c5-ab79-638f2a68e869	DbgIdl (help debugging of RPC services)
1ff70682-0a51-30e8-076d-740be8cee98b	Scheduler service - atsvc (mstask.exe)
20610036-fa22-11cf-9823-00a0c911e5df	Routing and Remote Access Service (rasmans)
2465e9e0-a873-11d0-930b-00a0c90ab17c	IMAP4 service (imap4svc.dll) - Exchange
2f59a331-bf7d-48cb-9ec5-7c090d76e8b8    Terminal Server Service
2f5f3220-c126-1076-b549-074d078619da	nddeapi
2f5f6520-ca46-1067-b319-00dd010662da	Telephony service (Tapisrv)
2f5f6521-cb55-1059-b446-00df0bce31db    Unimodem LRPC Endpoint
300f3532-38cc-11d0-a3f0-0020af6b0add	Distributed Link Tracking Client (Trkwks)
326731e3-c1c0-4a69-ae20-7d9044a4ea5c    Winlogon IUserProfile (2003)
338cd001-2244-31f1-aaaa-900038001003	Remote registry service (winreg) (RemoteRegistry)
342cfd40-3c6c-11ce-a893-08002b2e9c6d	License Logging service (llssrv.exe)
3473dd4d-2e88-4006-9cba-22570909dd1     WinHttp Auto-Proxy Service
367abb81-9844-35f1-ad32-98f038001003	SVCCTL RPC interface for the remotable NetService
367aeb81-9844-35f1-ad32-98f038001003	Services control manager SCM (svcctl) (services.exe)
369ce4f0-0fdc-11d3-bde8-00c04f8eee78	Userenv (winlogon.exe) Profile Mapper pmapapi
378e52b0-c0a9-11cf-822d-00aa0051e40f	Scheduler Service (Svchost.exe) sasec
38a94e72-a9bc-11d2-8faf-00c04fa378ff	MS Exchange MTA 'QAdmin' v1
3919286a-b10c-11d0-9ba8-00c04fd92ef5	LSA DS access (dssetup - Directory Services Setup) (lsass.exe)
3919286a-b10c-11d0-9ba8-00c04fd92ef5	Lsarpc - LsaClear AuditLog
3c4728c5-f0ab-448b-bda1-6ce01eb0a6d5	RpcSrvDHCPC
3c4728c5-f0ab-448b-bda1-6ce01eb0a6d6	dhcpcsvc6	
3dde7c30-165d-11d1-ab8f-00805f14db40	CryptoAPI - Protected storage service BackupKey 
3d267954-eeb7-11d1-b94e-00c04fa3080d	Terminal Server Licensing (lserver.exe)
3f99b900-4d87-101b-99b7-aa0004007f07	SQL Server
3faf4738-3a21-4307-b46c-fdda9bb8c0d5	Windows Audio service (AudioSrv)
41208ee0-e970-11d1-9b9e-00e02c064c39	Microsoft Windows Message Queue Management Service - MS-MQQM
412f241e-c12a-11ce-abff-0020af6e7a17	ISCM
41f5fae1-e0ac-414c-a721-0d287466cb23    Exchange 2007 Port 1155
45776b01-5956-4485-9f80-f428f7d60129    DNS Client Service (XP et après)
45f52c28-7f9f-101a-b52b-08002b2efabe	WINS service (wins.exe) winsif
469d6ec0-0d87-11ce-b13f-00aa003bac6c	MS Exchange System Attendant Public v16
4825ea41-51e3-4c2a-8406-8f2d2698395f    Winlogon IProfileDialog (2003)
4b112204-0e19-11d3-b42b-0000f81feb9f	SSDP service (ssdpsrv)
4b324fc8-1670-01d3-1278-5a47bf6ee188	Server service (srvsvc) (lsass.exe)
4da1c422-943d-11d1-acae-00c04fc2aa3f    Distributed Link Tracking Client (Trkwks)
4d9f4ab8-7d1c-11cf-861e-0020af6e7c57	epmapper - Remote activation - IRemoteActivation (IActivation)
4f82f460-0e21-11cf-909e-00805f48a135	NNTP service (ntpsvc.dll)
4fc742e0-4a10-11cf-8273-00aa004ae673	Distributed File System service (Dfssvc)
506b1890-14c8-11d1-bbc3-00805fa6962e    CA BrightStor Message Engine (msgeng.exe)
50abc2a4-574d-40b3-9d66-ee4fd5fba076	DNS Server (dns.exe)
53e75790-d96b-11cd-ba18-08002b2dfead	WWW publishing service
57674cd0-5200-11ce-a897-08002b2e9c6d    License Logging service
5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc	Messenger service (messenger) msgsvcsend
5b5b3580-b0e0-11d1-b92d-0060081e87f0 	Microsoft Windows Message Queue Management Service - MS-MQQM
5b821720-f63b-11d0-aad2-00c04fc324db	DHCP server dhcpsrv2
5c89f409-09cc-101a-89f3-02608c4d2361	FTP publishing service
5ca4a760-ebb1-11cf-8611-00a0245420ed	Terminal Services remote management (termsrv.exe)
5cbe92cb-f4be-45c9-9fc9-33e73e557b20    Protected Storage (lsass.exe) PasswordRecovery
621dff68-3c39-4c6c-aae3-e68e2c6503ad	Wireless Configuration service (wzcsvc)
629b9f66-556c-11d1-8dd2-00aa004abd5e	System Event Notification Service (senssvc) SensNotify
63fbe424-2029-11d1-8db8-00aa004abd5e	System Event Notification Service (senssvc) SensApi
64fe0b7f-9ef5-4553-a7db-9a1975777554	FwIdl
65a93890-fab9-43a3-b2a5-1e330ac28f11    DNS Client Service (2000)
67df7c70-0f04-11ce-b13f-00aa003bac6c	Microsoft Exchange System Attendant Service
68b58241-c259-4f03-a2e5-a2651dcbc930    Cryptographic services keySvc (CryptSvc2)
68dcd486-669e-11d1-ab0c-00c04fc2dcd2	Inter-site Messaging service (ismserv.exe process)
6bffd098-a112-3610-9833-012892020162	Computer Browser Service (Browser)
6bffd098-a112-3610-9833-46c3f874532d    DHCP Server dhcpsrv
6bffd098-a112-3610-9833-46c3f87e345a	Workstation service (wkssvc) (lsass.exe)
70b51430-b6ca-11d0-b9b9-00a0c922e750	IMSAdminBaseW - Microsoft Internet Information Server COM GUID/UUID Service
76d12b80-3467-11d3-91ff-0090272f9ea3	Microsoft Windows Message Queue Management Service - MS-MQQM
7c44d7d4-31d5-424c-bd5e-2b3e1f323d22    Active Directory dsaop Interface
7e048d38-ac08-4ff1-8e6b-f35dbab88d4a	Message Queue Service
811109bf-a4e1-11d1-ab54-00a0c91e9b45	WINS service - winsi2
82273fdc-e32a-18c3-3f78-827929dc23ea	Eventlog service (Eventlog)
82ad4280-036b-11cf-972c-00aa006887b0	inetinfo - IISAdmin service (infocomm.dll)
8384fc47-956a-4d1e-ab2a-1205014f96ec    Exchange 2007 Port 1155
83d72bf0-0d89-11ce-b13f-00aa003bac6c	MS Exchange System Attendant Private v6
83da7c00-e84f-11d2-9807-00c04f8ec850	Windows File Protection (winlogon.exe)
86d35949-83c9-4044-b424-db363231fd0c	ITaskSchedulerService
894de0c0-0d55-11d3-a322-00c04fa321a1	(Remote) system shutdown (winlogon.exe)
89742ace-a9ed-11cf-9c0c-08002be7ae86	Exchange Server STORE ADMIN v2
8c7daf44-b6dc-11d1-9a4c-0020af6e7c57	Application Management service
8cfb5d70-31a4-11cf-a7d8-00805f48a135	SMTP service (smtpsvc.dll)
8d0ffe72-d252-11d0-bf8f-00c04fd9126b	Cryptographic services keySvc (CryptSvc)
8d9f4e40-a03d-11ce-8f69-08003e30051b	Plug and Play service (services.exe)
8f09f000-b7ed-11ce-bbd2-00001a181cad	Routing and Remote Access service (mprdim.dll)
8fb6d884-2388-11d0-8c35-00c04fda2795	Windows Time (w32time)
906b0ce0-c70b-1067-b317-00dd010662da	Microsoft Distributed Transaction Coordinator Service (MS-DTC) - SMTP service IIS
91ae6020-9e3c-11cf-8d7c-00aa00c091be	Certificate service (certsrv.exe)
93149ca2-973b-11d1-8c39-00c04fb984f9	Security Configuration Editor (SCE) (services.exe)
93841fd0-16ce-11ce-850d-02608c44967b	Veritas Backup Exec / TCP port 6106
95958c94-a424-4055-b62b-b7f4d5c47770    Winlogon IRPCSCLogon (2003)
97f83d5c-1994-11d1-a90d-00c04fb960f8    InetInfo
99e64010-b032-11d0-97a4-00c04fd6551d	Exchange Server STORE ADMIN v3
99fcfec4-5260-101b-bbcb-00aa0021347a	IOXIDResolver (IObjectExporter)
9b8699ae-0e44-47b1-8e7f-86a461d7ecdc    DCOM Server Process Launcher
9e8ee830-4459-11ce-979b-00aa005ffebe	MS Exchange MTA v2
a002b3a0-c9b7-11d1-ae88-0080c75e4ec1	Winlogon (winlogon.exe) GetUserToken
a00c021c-2be2-11d2-b678-0000f87a8f8e	Microsoft File Replication Service
a4f1db00-ca47-1067-b31e-00dd010662da	Exchange Server STORE ADMIN v1
a4f1db00-ca47-1067-b31f-00dd010662da	Magasin (port par defaut 6001) - MAPI
a4f1db00-ca47-1067-b31f-00dd010662da	Exchange Server STORE EMSMDB v0
a520d06e-11de-11d2-ab59-00c04fa3590c    InetInfo
a9b96d49-2c75-4917-a178-06b6f08261cc 	ISASTGCTRL
a9e69612-b80d-11d0-b9b9-00a0c922e750	IADMCOMSINK - Microsoft Internet Information Server COM GUID/UUID Service
aae9ac90-ce13-11cf-919e-08002be23c64	DNS Server
afa8bd80-7d8a-11c9-bef4-08002b102989	Remote Management Interface
b347203c-14bb-4878-8b7a-0a12f9b8076a	ISA MMC
b3df47c0-a95a-11cf-aa26-00aa00c148b9    Replication Between 2 CSS Servers
b4757e80-a0e4-46b4-876a-3ae4a548ee07    Exchange 2007 Port 1155
b9e79e60-3d52-11ce-aaa1-00006901293f	IROT - access the Running Object Table (ROT)
bd5790c9-d855-42b0-990f-3dfed8c184b3    Exchange 2007 Port 1155
c386ca3e-9061-4a72-821e-498d83be188f    Windows Audio Service Audiorpc
c681d488-d850-11d0-8c52-00c04fd90f7e    EFS
c6f3ee72-ce7e-11d1-b71e-00c04fc3111a	IMachineActivatorControl
c8cb7687-e6d3-11d2-a958-00c04f682e16	WebDAV client (WebClient)
c9378ff1-16f7-11d0-a0b2-00aa0061426a	Protected Storage (lsass.exe) IPStoreProv
d049b186-814f-11d1-9a3c-00c04fc9b232  	Microsoft File Replication Service
d335b8f6-cb31-11d0-b0f9-006097ba4e54	IPSEC Policy Agent (Windows 2000) (PolicyAgent)
d3fbb514-0e3b-11cb-8fad-08002b1d29c3    NsiC
d6d70ef0-0e3b-11cb-acc3-08002b1d29c3    RPC Locator service (locator.exe) - NsiS
d6d70ef0-0e3b-11cb-acc3-08002b1d29c4	RPC Locator service (locator.exe) - NsiM
d7f9e1c0-2247-11d1-ba89-00c04fd91268	DNS Server
e1af8308-5d1f-11c9-91a4-08002b14a0fa	RPC endpoint mapper (RpcSs) - epmp
e3514235-4b06-11d1-ab04-00c04fc2dcd2	Active Directory replication (drsuapi)
e60c73e6-88f9-11cf-9af1-0020af6e72f4	Local IOXIDResolver - ILocalObjectExporter
e67ab081-9844-3521-9d32-834f038001c0	nwwks Client Service for NetWare
ea0a3165-4834-11d2-a6f8-00c04fa346cc    Fax Service
ecec0d70-a603-11d0-96b1-00a0c91ece30	Microsoft Active Directory Backup and Restore Services (MS-AD-BR)
f50aac00-c7f3-428e-a022-a6b71bfb9d43	Cryptographic services atDBSvc (CryptSvc)
f5cc5a18-4264-101a-8c59-08002b2f8426	DSProxy (port par defaut 6004) - Répertoire
f5cc5a18-4264-101a-8c59-08002b2f8426	MS Exchange Directory NSPI Proxy v56	
f5cc5a18-4264-101a-8c59-08002b2f8426	Active Directory Name Service Provider (NSP)
f5cc5a7c-4264-101a-8c59-08002b2f8426	Active Directory Extended Directory Service (XDS)
f5cc5a7c-4264-101a-8c59-08002b2f8426	Microsoft Exchange Directory Service
f5cc59b4-4264-101a-8c59-08002b2f8426	Microsoft Exchange Directory Service
f5cc59b4-4264-101a-8c59-08002b2f8426 	Microsoft File Replication Service
f5e0-613c-11d1-93df-00c04fd7bd09	DSReferral (port par defaut 1544)
f930c514-1215-11d3-99a5-00a0c9b61b04	MS Exchange System Attendant Cluster v1
fc13257d-5567-4dea-898d-c6f9c48415a0	Message Queue Service
fdb3a030-065f-11d1-bb9b-00a024ea5525	Microsoft Windows Message Queue Management Service - MS-MQQM


5- Références
========================================================================

- Netsh Commands for Remote Procedure Call (RPC) :
  http://technet.microsoft.com/en-us/library/cc730626.aspx

- Windows network services internals - Jean-Baptiste Marchand :
  http://www.hsc.fr/ressources/articles/win_net_srv/

- Dissection des RPC Windows - Nicolas Pouvesle, Kostya Kortchinsky :
  http://actes.sstic.org/SSTIC06/Dissection_RPC_Windows/SSTIC06-article-Pouvesle-Dissection_RPC_Windows.pdf
  http://actes.sstic.org/SSTIC06/Dissection_RPC_Windows/SSTIC06-Pouvesle-Dissection_RPC_Windows.pdf

- Fingerprinting Through RPC :
  http://www.blackhat.com/presentations/win-usa-04/bh-win-04-seki-up2.pdf

- Windows systems network services - Jean-Baptiste Marchand :
  http://www.hsc.fr/ressources/articles/srv_res_win/index.html.en

- Authentication Levels :
  http://msdn.microsoft.com/en-us/library/aa373552(VS.85).aspx
  (voir notamment l'en-tete Rpcdce.h)

- Restriction des interfaces RPC :
  http://technet.microsoft.com/fr-fr/library/cc781010(WS.10).aspx
  http://support.microsoft.com/kb/838191

- SMB (NCACN_NP) :
  http://msdn.microsoft.com/en-us/library/cc243786(PROT.13).aspx

========================================================================
Stéphane Milani - Hervé Schauer Consultants
========================================================================