hacktricks/windows-hardening/windows-local-privilege-escalation/appenddata-addsubdirectory-permission-over-service-registry.md

4.1 KiB
Raw Blame History

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式

原始帖子链接 https://itm4n.github.io/windows-registry-rpceptmapper-eop/

摘要

发现当前用户可以写入两个注册表键:

  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper

建议使用regedit GUI检查RpcEptMapper服务的权限,特别是高级安全设置窗口的有效权限选项卡。这种方法可以评估授予特定用户或组的权限而无需逐个检查每个访问控制条目ACE

屏幕截图显示了低权限用户被分配的权限,其中创建子键权限引人注目。这个权限,也称为AppendData/AddSubdirectory,与脚本的发现相对应。

注意到无法直接修改某些值,但可以创建新的子键。举例说明了尝试更改ImagePath值的情况,结果是访问被拒绝的消息。

尽管存在这些限制,但通过利用RpcEptMapper服务的注册表结构中的Performance子键的可能性识别了特权升级的可能性这是默认情况下不存在的子键。这可以实现DLL注册和性能监控。

查阅关于Performance子键及其用于性能监控的文档导致开发了一个概念验证DLL。这个DLL演示了OpenPerfDataCollectPerfDataClosePerfData函数的实现,通过rundll32进行了测试,确认其操作成功。

目标是强制RPC端点映射器服务加载精心制作的性能DLL。观察表明通过PowerShell执行与性能数据相关的WMI类查询会创建一个日志文件从而在LOCAL SYSTEM上下文下执行任意代码,从而授予提升的权限。

强调了此漏洞的持久性和潜在影响,突出了它对后期利用策略、横向移动和规避防病毒/EDR系统的相关性。

尽管最初是通过脚本无意中披露了这个漏洞但强调了其利用受限于过时的Windows版本例如Windows 7 / Server 2008 R2)并且需要本地访问。

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式