AppendData/AddSubdirectory permission over service registry

从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)

支持HackTricks的其他方式:

原始帖子链接 https://itm4n.github.io/windows-registry-rpceptmapper-eop/

摘要

发现当前用户可以写入两个注册表键:

  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper

建议使用regedit GUI检查RpcEptMapper服务的权限,特别是高级安全设置窗口的有效权限选项卡。这种方法可以评估授予特定用户或组的权限,而无需逐个检查每个访问控制条目(ACE)。

屏幕截图显示了低权限用户被分配的权限,其中创建子键权限引人注目。这个权限,也称为AppendData/AddSubdirectory,与脚本的发现相对应。

注意到无法直接修改某些值,但可以创建新的子键。举例说明了尝试更改ImagePath值的情况,结果是访问被拒绝的消息。

尽管存在这些限制,但通过利用RpcEptMapper服务的注册表结构中的Performance子键的可能性,识别了特权升级的可能性,这是默认情况下不存在的子键。这可以实现DLL注册和性能监控。

查阅关于Performance子键及其用于性能监控的文档,导致开发了一个概念验证DLL。这个DLL演示了OpenPerfDataCollectPerfDataClosePerfData函数的实现,通过rundll32进行了测试,确认其操作成功。

目标是强制RPC端点映射器服务加载精心制作的性能DLL。观察表明,通过PowerShell执行与性能数据相关的WMI类查询会创建一个日志文件,从而在LOCAL SYSTEM上下文下执行任意代码,从而授予提升的权限。

强调了此漏洞的持久性和潜在影响,突出了它对后期利用策略、横向移动和规避防病毒/EDR系统的相关性。

尽管最初是通过脚本无意中披露了这个漏洞,但强调了其利用受限于过时的Windows版本(例如Windows 7 / Server 2008 R2)并且需要本地访问。

从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)

支持HackTricks的其他方式:

最后更新于