针对我来说，找寻新式的横着渗入 *** 或有趣的代码实行技术是一种打发时间的好 *** 。因为Windows在运行的时候会形成很多的RPC服务项目，因此 ，在找寻不同寻常的代码执行技术的情况下，难度系数会平行线降低。一般 而言，这种主题活动的投入产出率還是十分客观性的，由于SOC或EDR经销商通常致力于更普遍的已公布于众的技术，而可以在服务器上开启代码执行的新 *** 的面世很有可能会给调研精英团队的工作中产生不便。

在之前的文章内容中，我尝试找到可以用于混和普遍进攻签字的不一样 *** 。自打编写探索Mimikatz和lsass內部体制的文章内容至今，我收到了很多有关怎样寻找所展现的lsass DLL载入技术及其如何识别别的技术层面的信息的要求。因此 ，在本文中，我将为阅读者详细介绍一个工作内容，协助大伙儿查询Windows RPC *** 內部；另外，还会继续详细介绍一些十分有效的 *** ，将找寻很感兴趣的空间向量的劳动量降至最少。

必须说的是，本文的总体目标阅读者是这些对Windows更底层作用很感兴趣，而且不符合于早已发布的0dayzz或横着渗入技术的人。而文中的关键便是出示一些念头，期待能协助这种阅读者寻找有关的新技术。

因而，大家更先要做的是确立要鉴别的目标。就横着渗入技术来讲，大家的理想化总体目标应当那样一种服务项目——能够根据RPC开展远程控制互动，或是能够根据LPC曝露当地的服务项目，用于将编码导进处在运作情况的过程中。

就现阶段而言，在检索RPC服务项目时，我们可以凭借RpcView，它是不可多得的专用工具之一，致力于以充足的粒度分布来公布RPC服务项目，乃至形成可编译程序的IDL。尽管这一专用工具非常棒，但我的侧重点取决于它是怎样进行RPC枚举的。掌握这一点以后，大家就可以给自己的反向专用工具订制一些独特的作用。因而，在文中的之一部分中，这就是我们即将探索的內容……及其怎样进行RPC枚举。

一旦大家把握了从过程中获取RPC信息的 *** ，下面要做的事儿，便是掌握公布的RPC *** 是不是会开启大家很感兴趣的API启用，比如CreateProcess或LoadLibrary。它是大家将在文中的第二一部分在要集中化探讨的主题风格。

全自动枚举RPC

针对RPC枚举，我最开始是凭借Rpcrt4.dll（它是Windows出示的库，用于适用RPC运作时）及其RpcView的源码，来掌握Windows RPC的內部管理机制的。

如今，我们要更进一步：掌握RPC *** 服务器的有关信息。好在微软公司为大家出示了一个有关怎样建立RPC *** 服务器的出色文本文档，因此 ，这儿将以它为基本，并进一步详细介绍怎样显现出单一 *** 。我已将有关新项目加上到Github，以便捷大伙儿参照。

如果我们调查该实例RPC新项目的主函数，会发觉有很多API是用于运行RPC *** 服务器的，包含：

RpcServerUseProtseqEp：用于配备节点以接纳RPC联接。

RpcServerRegisterIf：用于向RPC运作时申请注册RPC插口。

RpcServerListen：运行RPC *** 服务器的监听作用。

留意，全部这种API启用都是以Rpcrt4.dll导出来的，因此 ，使我们将其交到Ghidra，看一下这种涵数是怎样运行的。

如果我们从RpcServerUseProtseqEp逐渐，大家会它会查验RPC运作时是不是已载入到一个过程中：

这儿会认证静态变量RpcHasBeenInitialized，假如它被设定为false，那麼实行步骤将进到PerformRpcInitialization。最后，这会开启InitializeRpcServer的一个涵数，而该涵数则会复位GlobalRpcServer的静态变量：

那麼，GlobalRpcServer是做什么的？假如细心调查RpcView的编码，大家会在RpcInternals.h中找到答案：

typedef struct _RPC_SERVER_T{

MUTEX_T Mutex;

ULONG __bIslistening;

ULONG bIsListening;

ULONG MinimumCallThreads;

ULONG Wait;

ULONG OutCalls;

ULONG Unk1;

ULONG InCalls;

ULONG Unk2;

SIMPLE_DICT_T AddressDict;

ULONG lAvailableCalls;