原始帖子链接 https://itm4n.github.io/windows-registry-rpceptmapper-eop/

摘要

发现当前用户可以写入两个注册表键：

• HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

• HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper

建议使用regedit GUI检查RpcEptMapper服务的权限，特别是高级安全设置窗口的有效权限选项卡。这种方法可以评估授予特定用户或组的权限，而无需逐个检查每个访问控制条目（ACE）。

屏幕截图显示了低权限用户被分配的权限，其中创建子键权限引人注目。这个权限，也称为AppendData/AddSubdirectory，与脚本的发现相对应。

注意到无法直接修改某些值，但可以创建新的子键。举例说明了尝试更改ImagePath值的情况，结果是访问被拒绝的消息。

尽管存在这些限制，但通过利用RpcEptMapper服务的注册表结构中的Performance子键的可能性，识别了特权升级的可能性，这是默认情况下不存在的子键。这可以实现DLL注册和性能监控。

查阅关于Performance子键及其用于性能监控的文档，导致开发了一个概念验证DLL。这个DLL演示了OpenPerfData、CollectPerfData和ClosePerfData函数的实现，通过rundll32进行了测试，确认其操作成功。

目标是强制RPC端点映射器服务加载精心制作的性能DLL。观察表明，通过PowerShell执行与性能数据相关的WMI类查询会创建一个日志文件，从而在LOCAL SYSTEM上下文下执行任意代码，从而授予提升的权限。

强调了此漏洞的持久性和潜在影响，突出了它对后期利用策略、横向移动和规避防病毒/EDR系统的相关性。

尽管最初是通过脚本无意中披露了这个漏洞，但强调了其利用受限于过时的Windows版本（例如Windows 7 / Server 2008 R2）并且需要本地访问。