Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 22:18:27 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/windows-local-privilege-escalation/appenddata-addsubdirectory-permission-over-service-registry.md

5.6 KiB
Raw Blame History

htARTEHackTricks AWS Red Team Expert を通じてゼロからヒーローまでAWSハッキングを学ぶ

HackTricksをサポートする他の方法

元の投稿は https://itm4n.github.io/windows-registry-rpceptmapper-eop/

要約

現在のユーザーによって書き込み可能な2つのレジストリキーが見つかりました

  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper

RpcEptMapperサービスのアクセス許可をregedit GUIを使用して確認することが提案されました。具体的には、Advanced Security SettingsウィンドウのEffective Permissionsタブを使用します。このアプローチにより、各アクセス制御エントリACEを個別に調査する必要なく、特定のユーザーまたはグループに付与されたアクセス許可を評価できます。

スクリプトの調査結果によると、低特権ユーザーに割り当てられたアクセス許可が示されました。その中で、Create Subkey権限が注目されました。この権限はAppendData/AddSubdirectoryとも呼ばれ、スクリプトの調査結果と一致します。

特定の値を直接変更できないが、新しいサブキーを作成できる能力があることが指摘されました。例として、ImagePath値を変更しようとした際にアクセスが拒否されたメッセージが表示されました。

これらの制限にもかかわらず、RpcEptMapperサービスのレジストリ構造内のPerformanceサブキーを活用することで特権昇格の可能性が特定されました。これはデフォルトでは存在しないサブキーで、DLLの登録とパフォーマンスモニタリングを可能にすることができます。

Performanceサブキーに関するドキュメントとそのパフォーマンスモニタリングへの利用方法が参照され、OpenPerfDataCollectPerfData、およびClosePerfData関数の実装を示すPOC DLLが開発されました。このDLLはrundll32を介してテストされ、その操作的な成功が確認されました。

RPCエンドポイントマッパーサービスに作成されたパフォーマンスDLLをロードさせることが目標でした。PowerShellを介してパフォーマンスデータに関連するWMIクラスクエリを実行すると、ログファイルが作成され、LOCAL SYSTEMコンテキストで任意のコードを実行できるようになり、特権が昇格されます。

この脆弱性の持続性と潜在的な影響が強調され、そのポストエクスプロイテーション戦略、横断移動、およびアンチウイルス/EDRシステムの回避に対する重要性が示されました。

この脆弱性は元々スクリプトを通じて意図せず開示されましたが、その悪用は古いWindowsバージョンWindows 7 / Server 2008 R2)に制限され、ローカルアクセスが必要です。

htARTEHackTricks AWS Red Team Expert を通じてゼロからヒーローまでAWSハッキングを学ぶ

HackTricksをサポートする他の方法