HackTrickstip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Originalni post je https://itm4n.github.io/windows-registry-rpceptmapper-eop/
Sažetak
Dva ključa registra su pronađena kao zapisiva od strane trenutnog korisnika:
HKLM\SYSTEM\CurrentControlSet\Services\DnscacheHKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
Preporučeno je da se provere dozvole servisa RpcEptMapper koristeći regedit GUI, posebno karticu Effective Permissions u prozoru Advanced Security Settings. Ovaj pristup omogućava procenu dodeljenih dozvola određenim korisnicima ili grupama bez potrebe da se ispituje svaki Access Control Entry (ACE) pojedinačno.
Snimak ekrana je prikazao dozvole dodeljene korisniku sa niskim privilegijama, među kojima je bila istaknuta dozvola Create Subkey. Ova dozvola, takođe poznata kao AppendData/AddSubdirectory, odgovara nalazima skripte.
Primećena je nemogućnost direktne izmene određenih vrednosti, ali mogućnost kreiranja novih podključeva. Primer koji je istaknut bio je pokušaj izmene vrednosti ImagePath, što je rezultiralo porukom o odbijenom pristupu.
Uprkos ovim ograničenjima, identifikovana je potencijalna mogućnost eskalacije privilegija kroz mogućnost korišćenja podključa Performance unutar registra servisa RpcEptMapper, podključa koji nije prisutan po defaultu. Ovo bi omogućilo registraciju DLL-a i praćenje performansi.
Dokumentacija o podključe Performance i njegovoj upotrebi za praćenje performansi je konsultovana, što je dovelo do razvoja dokaza o konceptu DLL-a. Ovaj DLL, koji demonstrira implementaciju funkcija OpenPerfData, CollectPerfData i ClosePerfData, testiran je putem rundll32, potvrđujući njegovu operativnu uspešnost.
Cilj je bio primorati RPC Endpoint Mapper service da učita kreirani Performance DLL. Posmatranja su pokazala da izvršavanje WMI klasa upita vezanih za Performance Data putem PowerShell-a rezultira kreiranjem log fajla, omogućavajući izvršavanje proizvoljnog koda pod kontekstom LOCAL SYSTEM, čime se dodeljuju povišene privilegije.
Istaknuta je postojanost i potencijalne posledice ove ranjivosti, naglašavajući njenu relevantnost za strategije post-eksploatacije, lateralno kretanje i izbegavanje antivirusnih/EDR sistema.
Iako je ranjivost prvobitno otkrivena nenamerno kroz skriptu, naglašeno je da je njena eksploatacija ograničena na zastarele verzije Windows-a (npr. Windows 7 / Server 2008 R2) i zahteva lokalni pristup.
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.