Windows RpcEptMapper服务注册表权限配置不当引发本地权限提升

最新推荐文章于 2023-12-18 12:44:55 发布
原创 最新推荐文章于 2023-12-18 12:44:55 发布 · 497 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #Windows

Windows 专栏收录该内容
124 篇文章 ¥59.90 ¥99.00
订阅专栏
本文详细介绍了Windows RpcEptMapper服务注册表权限配置不当可能导致的本地权限提升漏洞,分析了问题原因,并提供了C#代码示例。解决方案包括限制访问权限、定期审查注册表配置和及时安装安全补丁。

在Windows操作系统中,RpcEptMapper服务是一项重要的服务,用于管理远程过程调用(RPC)端点映射器数据库。然而,如果对该服务的注册表权限进行错误配置,可能会导致本地权限提升漏洞的出现。本文将详细介绍该问题的原因,并提供相应的源代码示例。

问题描述:
当Windows系统中的RpcEptMapper服务注册表权限配置不正确时,攻击者可以利用此漏洞获取系统权限,并执行恶意操作。未经适当限制的访问权限可能允许攻击者修改服务的配置、加载恶意DLL或执行其他危险操作,从而导致系统被完全控制。

原因分析:
该问题通常是由于错误的注册表权限设置所致。注册表是Windows操作系统中用于存储配置信息的关键组件。RpcEptMapper服务的注册表项存储在"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\EptMapper"路径下。如果未正确配置此路径的访问权限,可能会导致攻击者能够修改关键配置项,从而实现本地权限提升。

示例代码:
以下是一个示例代码片段,演示了如何使用C#编程语言来获取RpcEptMapper服务注册表项的访问权限,并检查是否存在权限配置不当的问题。

using Microsoft.Win32;

cla
了解本专栏 订阅专栏 解锁全文
利用RpcEptMapper注册表权限漏洞(Windows 7 / 2088R2 / 8/2012)-C/C++开发
05-27
Windows 7,Windows Server 2008R2,Windows 8和Windows Server 2012上,RpcEptMapper和DnsCache(仅限7 / 2008R2)服务注册表配置了弱权限。 任何本地用户都可以创建Performance子项,然后利用Windows Performance Counters在WMI服务的上下文中以NT AUTHORITY \ SYSTEM的形式加载任意DLL(因此称为工具名)。 灌注在Windows 7,Windows Server 2008R2,Windows 8和Windows Server 2012上,RpcEptMapper和DnsCache(仅限7 / 2008R2)服务注册表配置了弱权限。 任何本地用户都可以创建Performance子项,然后利用Windows Performance Counters在WMI服务的上下文中以NT AUTHORITY \ SYSTEM的形式加载任意DLL(因此称为工具名)。 该工具旨在在渗透测试期间帮助安全顾问。 该软件已提供
灌注:利用RpcEptMapper注册表权限漏洞(Windows 7 2088R2 8 2012)
03-04
灌注 在Windows 7 , Windows Server 2008R2 , Windows 8和Windows Server 2012上, RpcEptMapper和DnsCache (仅限7 / 2008R2)服务注册表配置了弱权限。 任何本地用户都可以创建Performance子项,然后利用Windows Performance Counters在WMI服务的上下文中以NT AUTHORITY\SYSTEM加载任意DLL(因此称为工具名)。 该工具旨在在渗透测试期间帮助安全顾问。 该软件按原样提供,我可能不会提供任何支持。 虽然,我在三个不同的虚拟机上进行了彻底的测试,所以应该没有任何重大问题。 有关更多信息: : 已知的问题 :warning: 在使用此工具之前,请先阅读本信息 :warning: 在此工具的开发阶段,我观察到两种不同的行为: DLL是由WMI服务的主要进程直接加载为NT A
自己动手 优化Win7
qq_29667139的博客
05-03 3443
Win7终极优化: 1、使用场合:平面设计、电子商务运营、网站编程、本地服务器测试、日常办公、娱乐影视及游戏。 2、使用前提:不借第三方软件;为什么要关掉不必要的服务?原因大家都知道。 3、批处理一次性关闭,这查可以自己时不时有空手动点一下;当然要发送一个快捷方式到桌面最好。原.bat文件放在绿色软件或自己新建在C盘的目录下。之所以放C盘,更安全,见第6条。 4、快捷方式建立后:360对bat结束的文件会有提示,加入信任即可; 5、为了确保安全:.bat原文件 只读处理 最好设置为系统属性,防任意修改;
svhost占用内存过高
博客已迁移至 https://lxb.wiki
12-26 4635
Win7系统开机后,系统响应缓慢,检查任务管理器发现某个 svchost.exe 进程占用内存和CPU过高,严重的还会经常导致打开的某些程序失去响应。svchost.exe 是用来启动系统服务的,所以某个 svchost.exe 占用内存过大,可能就是它启动的那个服务占用内存过大,所以只要停止并禁用那个服务就行了。搜索寻找解决方案,百度经验上的文章提示一般来说占用内存最大的服务是 Superfetc
Win10不能禁和不建议禁的服务以及禁用后的影响
热门推荐
黄邦勇帅的博客
04-25 16万+
Win10不能禁和不建议禁的服务以及禁用后的影响 注意:适用于win10-19042.631版本,在之前的版本与此有一些差别 一、UWP简介 **应用:**即APP或程序,以前称为软件 UWP 即 “Windows通用应用平台”, 说简单一点,就是这种应用(即软件或程序)可以跨设备运行,即一个UWP应用可同时在平板、手机、电脑上运行,但是仅限于安装的win10系统的这些设备,所以,UWP只是跨设备,不能跨平台(即,在不同系统中运行,如可同时在windows、安桌、苹果上运行就叫跨平台), UWP程序
RpcEptMapper漏洞利用:提升Windows系统权限
资源摘要信息:"标题中提到的'灌注'指的是一种利用Windows操作系统中RpcEptMapper注册表权限设置不当的漏洞。这种漏洞存在于Windows 7、Windows Server 2008 R2、Windows 8以及Windows Server 2012这几个版本的操作...
错误代码5在Windows系统中可能关联哪些注册表权限问题?
最新发布
04-26
Windows系统中错误代码5表示$ACCESS\_DENIED$(拒绝访问),通常由注册表项、系统文件或关键资源权限配置不当引发。在注册表操作场景中,该错误多与当前用户账户权限不足直接相关[^2][^3]。 --- ### **分步骤解决...
RPC漏洞利用工具:提升Windows权限的C/C++开发
在讨论的主题中,关键点集中在Windows操作系统中特定服务注册表权限配置不当问题。具体来说,涉及的是RpcEptMapper服务和在特定版本的Windows系统上,DnsCache服务存在的注册表权限漏洞。通过这些漏洞,攻击者...
windowsserver'"BITS" (Background Intelligent Transfer Service) is not running (startup type automatic delayed)
12-30
当遇到错误提示表明该服务无法启动或已被标记为删除时,通常意味着注册表设置被篡改或是依赖的服务存在问题。 #### 检查和修复服务配置文件 应先确认 `BITS` 的启动参数是否正确无误。可以通过命令行工具和服务管理...
我偶然发现一个严重 0day,影响 Win7 和 Server 2008 R2,微软未发补丁(详情)
smellycat000的专栏
11-26 879
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队法国安全研究员 Clément Labro在更新一款 Windows 安全工具时,偶然发现一个影响 Windows 7 和 ...
解决 RPC服务 属性按钮全部都是灰色
04-25
rpc服务属性按钮全部都是灰色的问题是很严重的问题,但可以解决。
Win10 - 注册表获取权限的方法
袭冷
02-07 3万+
一、问题说明 在Win10系统中,有时涉及到一些注册表项、数值修改,如果该注册表项是属于系统的,那么使用本地管理员是没有权限的,但可以通过更改注册表所有者的方法来获得权限,从而顺利修改。 二、更改步骤 1、在对应注册表项如ShellFolder上点击右键,选择“权限”,这时会打开“ShellFolder的权限”窗口。如图: ...
Win服务器宝塔IIS/php环境进程应用名称及说明(发文备查)
易查薪
12-18 1848
如果此服务已禁用,任何与内核资源管理器交互的 MSDTC 事务将失败,并且任何显式依赖它的服务将无法启动。如果停止此服务,则对新交互服务对话框的通知将无法正常运行,而且可能无法访问这些交互服务对话框。如果此服务被禁用,任何依赖它的服务将无法启动。如果此服务已禁用或停止,则 Microsoft 软件将无法保持最新状态,这意味着无法修复可能产生的安全漏洞,并且功能也可能无法使用。如果此服务已禁用或停止,则 Microsoft 软件将无法保持最新状态,这意味着无法修复可能产生的安全漏洞,并且功能也可能无法使用。
'RPC服务器不可用' 解决方法
zaocha321的专栏
10-20 1万+
我本来的问题:“我是一个局域网用户,最近也不知哪个人在我的机上搞东西,我的问题是:开始是本地连接没了,以往都在任务栏有显示,而且右击”网上邻居“,属性为空白(可能是隐藏了),而且新建连接,只有”拨号到专用网络“和”接入传入的连接“可用,其它三项为灰色,不可选,但现在问题越来越严重,网上邻居的标题栏里”文件”下拉菜单都为灰色。为什么呀!!!我的机上不太可能是病毒,可能是人为的破坏!!!粘贴不可用!!
win10证书服务器不可用怎么办,四种方法解决Win10专业版RPC服务器不可用的问题...
weixin_34861702的博客
07-30 2601
如何解决win10专业版系统RPC服务器不可用的问题?最近有朋友在使用win10系统的过程中遇到了这样的一个问题:win10专业版RPC服务器不可用怎么办?,这个是什么情况呢?RCP是Remote Procedure Call的缩写。它是一个允许不同进程之间进行通信的windows系统。支持客户端与网络和本地计算机上的服务器之间的通信。那我们应该要如何解决呢?下面就和小编一起来学习一下吧,希望大家...
java中File类的使用方法
为梦想放生,创造梦一样的未来!
03-05 1436
构造函数 复制代码代码如下: public class FileDemo {      public static void main(String[] args){          //构造函数File(String pathname)          File f1 =new File("c:\\abc\\1.txt");          //File(Str
windows 防火墙疑难解答程序_在Windows上修复“RPC服务器不可用”的方法
weixin_39876595的博客
11-24 1327
关注奕奇科技,学习更多小妙招,值得收藏RPC服务器,是指Remote Procedure Call Protocol,中文释义为(RFC-1831)远程过程调用协议:一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。RPC采用客户机/服务器模式。请求程序就是一个客户机,而服务提供程序就是一个服务器。首先,调用进程发送一个有进程参数的调用信息到服务进程,然后等待应答信息。在服务...
Windows7系统服务优化指南
PastDays的专栏
02-17 1384
<br />                                                <br />来源:Win7之家<br /> *预览格式有点乱<br />                   名称<br />服务名称<br />(注册表)默认启动方式Home Basic下默认Home Premium下默认<br />Professional下默认<br />Ultimate下默认Enterprise下默认"安全"建议操作ActiveX Installer (AxInstSV)AxI
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值