AppendData/AddSubdirectory permission over service registry
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Оригінальний пост https://itm4n.github.io/windows-registry-rpceptmapper-eop/
Було виявлено два ключі реєстру, які можна записувати поточним користувачем:
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
Було запропоновано перевірити дозволи служби RpcEptMapper за допомогою regedit GUI, зокрема вкладки Ефективні дозволи вікна Розширені налаштування безпеки. Цей підхід дозволяє оцінити надані дозволи конкретним користувачам або групам без необхідності перевіряти кожен запис контролю доступу (ACE) окремо.
Скриншот показав дозволи, надані користувачу з низькими привілеями, серед яких особливо виділявся дозвіл Створити підключення. Цей дозвіл, також відомий як AppendData/AddSubdirectory, відповідає висновкам скрипта.
Було зазначено, що неможливо безпосередньо змінювати певні значення, але є можливість створювати нові підключення. Прикладом було спроба змінити значення ImagePath, що призвело до повідомлення про відмову в доступі.
Незважаючи на ці обмеження, було виявлено потенціал для ескалації привілеїв через можливість використання підключення Performance в реєстровій структурі служби RpcEptMapper, підключення, яке за замовчуванням не присутнє. Це могло б дозволити реєстрацію DLL та моніторинг продуктивності.
Була проконсультована документація про підключення Performance та його використання для моніторингу продуктивності, що призвело до розробки доказу концепції DLL. Ця DLL, що демонструє реалізацію функцій OpenPerfData, CollectPerfData та ClosePerfData, була протестована через rundll32, підтверджуючи її успішну роботу.
Метою було примусити RPC Endpoint Mapper service завантажити створену DLL для продуктивності. Спостереження показали, що виконання запитів класу WMI, пов'язаних з даними продуктивності через PowerShell, призводило до створення файлу журналу, що дозволяло виконання довільного коду в контексті LOCAL SYSTEM, таким чином надаючи підвищені привілеї.
Постійність і потенційні наслідки цієї вразливості були підкреслені, що підкреслює її актуальність для стратегій після експлуатації, бічного переміщення та ухилення від систем антивірусного/EDR захисту.
Хоча вразливість спочатку була розкрита ненавмисно через скрипт, було підкреслено, що її експлуатація обмежена застарілими версіями Windows (наприклад, Windows 7 / Server 2008 R2) і вимагає локального доступу.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
