4.1 KiB
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
支持HackTricks的其他方式:
- 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks周边产品
- 探索PEASS家族,我们的独家NFTs
- 加入 💬 Discord群 或 电报群 或在Twitter上关注我们 🐦 @carlospolopm。
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。
原始帖子链接 https://itm4n.github.io/windows-registry-rpceptmapper-eop/
摘要
发现当前用户可以写入两个注册表键:
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
建议使用regedit GUI检查RpcEptMapper服务的权限,特别是高级安全设置窗口的有效权限选项卡。这种方法可以评估授予特定用户或组的权限,而无需逐个检查每个访问控制条目(ACE)。
屏幕截图显示了低权限用户被分配的权限,其中创建子键权限引人注目。这个权限,也称为AppendData/AddSubdirectory,与脚本的发现相对应。
注意到无法直接修改某些值,但可以创建新的子键。举例说明了尝试更改ImagePath值的情况,结果是访问被拒绝的消息。
尽管存在这些限制,但通过利用RpcEptMapper服务的注册表结构中的Performance子键的可能性,识别了特权升级的可能性,这是默认情况下不存在的子键。这可以实现DLL注册和性能监控。
查阅关于Performance子键及其用于性能监控的文档,导致开发了一个概念验证DLL。这个DLL演示了OpenPerfData、CollectPerfData和ClosePerfData函数的实现,通过rundll32进行了测试,确认其操作成功。
目标是强制RPC端点映射器服务加载精心制作的性能DLL。观察表明,通过PowerShell执行与性能数据相关的WMI类查询会创建一个日志文件,从而在LOCAL SYSTEM上下文下执行任意代码,从而授予提升的权限。
强调了此漏洞的持久性和潜在影响,突出了它对后期利用策略、横向移动和规避防病毒/EDR系统的相关性。
尽管最初是通过脚本无意中披露了这个漏洞,但强调了其利用受限于过时的Windows版本(例如Windows 7 / Server 2008 R2)并且需要本地访问。
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
支持HackTricks的其他方式:
- 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks周边产品
- 探索PEASS家族,我们的独家NFTs
- 加入 💬 Discord群 或 电报群 或在Twitter上关注我们 🐦 @carlospolopm。
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。