AppendData/AddSubdirectory permission over service registry
The original post is https://itm4n.github.io/windows-registry-rpceptmapper-eop/
Summary
рджреЛ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреБрдВрдЬреА рд╡рд░реНрддрдорд╛рди рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рджреНрд╡рд╛рд░рд╛ рд▓рд┐рдЦреА рдЬрд╛ рд╕рдХрддреА рд╣реИрдВ:
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
рдпрд╣ рд╕реБрдЭрд╛рд╡ рджрд┐рдпрд╛ рдЧрдпрд╛ рдХрд┐ RpcEptMapper рд╕реЗрд╡рд╛ рдХреА рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреА рдЬрд╛рдВрдЪ regedit GUI рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдХреА рдЬрд╛рдП, рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ Advanced Security Settings рд╡рд┐рдВрдбреЛ рдХреЗ Effective Permissions рдЯреИрдм рдХрд╛ред рдпрд╣ рджреГрд╖реНрдЯрд┐рдХреЛрдг рд╡рд┐рд╢рд┐рд╖реНрдЯ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдпрд╛ рд╕рдореВрд╣реЛрдВ рдХреЛ рджреА рдЧрдИ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХрд╛ рдЖрдХрд▓рди рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ рдмрд┐рдирд╛ рдкреНрд░рддреНрдпреЗрдХ рдПрдХреНрд╕реЗрд╕ рдХрдВрдЯреНрд░реЛрд▓ рдПрдВрдЯреНрд░реА (ACE) рдХреА рд╡реНрдпрдХреНрддрд┐рдЧрдд рд░реВрдк рд╕реЗ рдЬрд╛рдВрдЪ рдХрд┐рдПред
рдПрдХ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рдореЗрдВ рдПрдХ рдХрдо рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рджреА рдЧрдИ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЛ рджрд┐рдЦрд╛рдпрд╛ рдЧрдпрд╛, рдЬрд┐рд╕рдореЗрдВ Create Subkey рдЕрдиреБрдорддрд┐ рдЙрд▓реНрд▓реЗрдЦрдиреАрдп рдереАред рдЗрд╕ рдЕрдиреБрдорддрд┐ рдХреЛ AppendData/AddSubdirectory рдХреЗ рд░реВрдк рдореЗрдВ рднреА рдЬрд╛рдирд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬреЛ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЗ рдирд┐рд╖реНрдХрд░реНрд╖реЛрдВ рдХреЗ рд╕рд╛рде рдореЗрд▓ рдЦрд╛рддрд╛ рд╣реИред
рдХреБрдЫ рдорд╛рдиреЛрдВ рдХреЛ рд╕реАрдзреЗ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдиреЗ рдореЗрдВ рдЕрд╕рдорд░реНрдерддрд╛, рдлрд┐рд░ рднреА рдирдП рд╕рдмрдХреАрдЬрд╝ рдмрдирд╛рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдХреЛ рдиреЛрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ред рдПрдХ рдЙрджрд╛рд╣рд░рдг рдореЗрдВ ImagePath рдорд╛рди рдХреЛ рдмрджрд▓рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рд╢рд╛рдорд┐рд▓ рдерд╛, рдЬрд┐рд╕рдХреЗ рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк рдПрдХ рдПрдХреНрд╕реЗрд╕ рдЕрд╕реНрд╡реАрдХреГрдд рд╕рдВрджреЗрд╢ рдорд┐рд▓рд╛ред
рдЗрди рд╕реАрдорд╛рдУрдВ рдХреЗ рдмрд╛рд╡рдЬреВрдж, RpcEptMapper рд╕реЗрд╡рд╛ рдХреА рд░рдЬрд┐рд╕реНрдЯреНрд░реА рд╕рдВрд░рдЪрдирд╛ рдХреЗ рднреАрддрд░ Performance рд╕рдмрдХреАрдЬрд╝ рдХрд╛ рд▓рд╛рдн рдЙрдард╛рдиреЗ рдХреА рд╕рдВрднрд╛рд╡рдирд╛ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рдХреА рд╕рдВрднрд╛рд╡рдирд╛ рдХреА рдкрд╣рдЪрд╛рди рдХреА рдЧрдИ, рдЬреЛ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ рдореМрдЬреВрдж рдирд╣реАрдВ рд╣реИред рдЗрд╕рд╕реЗ DLL рдкрдВрдЬреАрдХрд░рдг рдФрд░ рдкреНрд░рджрд░реНрд╢рди рдирд┐рдЧрд░рд╛рдиреА рдХреА рдЕрдиреБрдорддрд┐ рдорд┐рд▓ рд╕рдХрддреА рд╣реИред
Performance рд╕рдмрдХреАрдЬрд╝ рдФрд░ рдЗрд╕рдХреЗ рдкреНрд░рджрд░реНрд╢рди рдирд┐рдЧрд░рд╛рдиреА рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдкрд░ рджрд╕реНрддрд╛рд╡реЗрдЬрд╝реАрдХрд░рдг рдХреА рд╕рдореАрдХреНрд╖рд╛ рдХреА рдЧрдИ, рдЬрд┐рд╕рд╕реЗ рдПрдХ рдкреНрд░рдорд╛рдг-рдХреЛ-рдзрд╛рд░рдХ DLL рдХрд╛ рд╡рд┐рдХрд╛рд╕ рд╣реБрдЖред рдЗрд╕ DLL рдиреЗ OpenPerfData, CollectPerfData, рдФрд░ ClosePerfData рдХрд╛рд░реНрдпреЛрдВ рдХреЗ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдХреЛ рдкреНрд░рджрд░реНрд╢рд┐рдд рдХрд┐рдпрд╛, рдЬрд┐рд╕реЗ rundll32 рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкрд░реАрдХреНрд╖рдг рдХрд┐рдпрд╛ рдЧрдпрд╛, рдЬрд┐рд╕рд╕реЗ рдЗрд╕рдХреА рд╕рдВрдЪрд╛рд▓рди рд╕рдлрд▓рддрд╛ рдХреА рдкреБрд╖реНрдЯрд┐ рд╣реБрдИред
рд▓рдХреНрд╖реНрдп RPC Endpoint Mapper рд╕реЗрд╡рд╛ рдХреЛ рддреИрдпрд╛рд░ рдХрд┐рдП рдЧрдП рдкреНрд░рджрд░реНрд╢рди DLL рдХреЛ рд▓реЛрдб рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдордЬрдмреВрд░ рдХрд░рдирд╛ рдерд╛ред рдЕрд╡рд▓реЛрдХрдиреЛрдВ рдиреЗ рджрд┐рдЦрд╛рдпрд╛ рдХрд┐ рдкреНрд░рджрд░реНрд╢рди рдбреЗрдЯрд╛ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд WMI рд╡рд░реНрдЧ рдкреНрд░рд╢реНрдиреЛрдВ рдХреЛ PowerShell рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рд╕реЗ рдПрдХ рд▓реЙрдЧ рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдирд┐рд░реНрдорд╛рдг рд╣реБрдЖ, рдЬрд┐рд╕рд╕реЗ LOCAL SYSTEM рд╕рдВрджрд░реНрдн рдХреЗ рддрд╣рдд рдордирдорд╛рдиреЗ рдХреЛрдб рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдорд┐рд▓реА, рдЗрд╕ рдкреНрд░рдХрд╛рд░ рдЙрдЪреНрдЪ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рд╣реБрдПред
рдЗрд╕ рднреЗрджреНрдпрддрд╛ рдХреА рд╕реНрдерд┐рд░рддрд╛ рдФрд░ рд╕рдВрднрд╛рд╡рд┐рдд рдкреНрд░рднрд╛рд╡реЛрдВ рдХреЛ рд░реЗрдЦрд╛рдВрдХрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛, рдЗрд╕рдХреЗ рдкреЛрд╕реНрдЯ-рдПрдХреНрд╕рдкреНрд▓реЛрдЗрдЯреЗрд╢рди рд░рдгрдиреАрддрд┐рдпреЛрдВ, рдкрд╛рд░реНрд╢реНрд╡ рдЖрдВрджреЛрд▓рди, рдФрд░ рдПрдВрдЯреАрд╡рд╛рдпрд░рд╕/EDR рд╕рд┐рд╕реНрдЯрдо рд╕реЗ рдмрдЪрдиреЗ рдХреА рдкреНрд░рд╛рд╕рдВрдЧрд┐рдХрддрд╛ рдХреЛ рдЙрдЬрд╛рдЧрд░ рдХрд┐рдпрд╛ рдЧрдпрд╛ред
рд╣рд╛рд▓рд╛рдВрдХрд┐ рднреЗрджреНрдпрддрд╛ рдХреЛ рдкреНрд░рд╛рд░рдВрдн рдореЗрдВ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЕрдирдЬрд╛рдиреЗ рдореЗрдВ рдкреНрд░рдХрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛, рдпрд╣ рдЬреЛрд░ рджрд┐рдпрд╛ рдЧрдпрд╛ рдХрд┐ рдЗрд╕рдХрд╛ рд╢реЛрд╖рдг рдкреБрд░рд╛рдиреЗ Windows рд╕рдВрд╕реНрдХрд░рдгреЛрдВ (рдЬреИрд╕реЗ, Windows 7 / Server 2008 R2) рддрдХ рд╕реАрдорд┐рдд рд╣реИ рдФрд░ рд╕реНрдерд╛рдиреАрдп рдкрд╣реБрдВрдЪ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред
Last updated