HackTrickstip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.
Оригінальний пост https://itm4n.github.io/windows-registry-rpceptmapper-eop/
Резюме
Було виявлено два ключі реєстру, які можуть бути записані поточним користувачем:
HKLM\SYSTEM\CurrentControlSet\Services\DnscacheHKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
Було запропоновано перевірити дозволи служби RpcEptMapper за допомогою regedit GUI, зокрема вкладки Ефективні дозволи вікна Розширені налаштування безпеки. Цей підхід дозволяє оцінити надані дозволи конкретним користувачам або групам без необхідності перевіряти кожен запис контролю доступу (ACE) окремо.
Скриншот показав дозволи, надані користувачу з низькими привілеями, серед яких особливою була дозволи Створити підключ. Цей дозвіл, також відомий як AppendData/AddSubdirectory, відповідає висновкам скрипта.
Було зазначено, що неможливо безпосередньо змінювати певні значення, але є можливість створювати нові підключі. Прикладом було спроба змінити значення ImagePath, що призвело до повідомлення про відмову в доступі.
Незважаючи на ці обмеження, було виявлено потенціал для ескалації привілеїв через можливість використання підключа Performance в реєстровій структурі служби RpcEptMapper, підключа, який за замовчуванням не присутній. Це могло б дозволити реєстрацію DLL та моніторинг продуктивності.
Була проконсультована документація щодо підключа Performance та його використання для моніторингу продуктивності, що призвело до розробки доказу концепції DLL. Ця DLL, що демонструє реалізацію функцій OpenPerfData, CollectPerfData та ClosePerfData, була протестована через rundll32, підтверджуючи її успішну роботу.
Метою було примусити RPC Endpoint Mapper service завантажити створену DLL для продуктивності. Спостереження показали, що виконання запитів класу WMI, пов'язаних з даними продуктивності через PowerShell, призводить до створення файлу журналу, що дозволяє виконання довільного коду в контексті LOCAL SYSTEM, таким чином надаючи підвищені привілеї.
Постійність і потенційні наслідки цієї вразливості були підкреслені, що підкреслює її актуальність для стратегій після експлуатації, бічного переміщення та ухилення від антивірусних/EDR систем.
Хоча вразливість спочатку була розкрита ненавмисно через скрипт, було підкреслено, що її експлуатація обмежена застарілими версіями Windows (наприклад, Windows 7 / Server 2008 R2) і вимагає локального доступу.
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.