Windows RPC挖掘与本地提权技术研究<\/h1>

0x01 前言<\/h2>
本文深入探讨通过Windows RPC机制挖掘本地提权漏洞的技术方法。研究发现，除了常见的BypassUAC和内核漏洞利用外，Windows RPC接口中存在多个可实现本地提权的攻击面。本文将详细介绍如何通过RPC Fuzz技术发现这些漏洞，并实现从普通用户到SYSTEM权限的提升。<\/p>

0x02 RPC Fuzz方法论<\/h2>

RPC基础概念<\/h3>
RPC（远程过程调用）是Windows中重要的IPC机制之一，用于进程间通信。DCE\/RPC是Windows的RPC实现，用于本地或远程机器上的进程交互。RPC服务器中的漏洞可能导致DoS、RCE或LPE（本地权限提升）。<\/p>

工具选择与配置<\/h3>

RpcView工具<\/h4>

功能<\/strong>：枚举系统中的RPC服务器，反编译IDL接口<\/p> <\/li>
下载<\/strong>：https:\/\/github.com\/silverf0x\/RpcView<\/p> <\/li>

符号配置<\/strong>：<\/p>

使用Windows SDK中的symchk.exe下载符号表：
cd<\/span> "C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\"<\/span> <\/span><\/span>symchk \/s srv*c:\SYMBOLS*https:\/\/msdl.microsoft.com\/download\/symbols C:\Windows\System32\*.dll <\/span><\/span><\/code><\/pre><\/li> 在RpcView中配置符号路径：Options > Configure Symbols<\/li> <\/ul> <\/li> 界面解析<\/strong>：<\/p> 左侧：RPC服务器列表<\/li> 右侧：接口详细信息（含解析后的函数名）<\/li> <\/ul> <\/li> <\/ol> 0x03 RPC通信原理与PetitPotam实现<\/h2> RPC通信基础<\/h3> IDL文件<\/strong>：定义接口的UUID、版本和函数原型<\/li> ACF文件<\/strong>：描述接口特性（非必需）<\/li> MIDL编译<\/strong>：生成客户端和服务端存根代码<\/li> 协议类型<\/strong>： ncacn_np<\/code>：通过SMB封装（命名管道）<\/li> ncacn_ip_tcp<\/code>：直接TCP通信<\/li> <\/ul> <\/li> <\/ol> RPC服务端实现关键API<\/h3> RpcServerUseProtseqEp \/\/ 指定协议和端点 <\/span><\/span><\/span><\/span>RpcServerRegisterIfEx \/\/ 注册接口 <\/span><\/span><\/span><\/span>RpcServerListen \/\/ 开始监听调用 <\/span><\/span><\/span><\/code><\/pre>RPC客户端实现关键API<\/h3> RpcStringBindingCompose \/\/ 生成绑定字符串 <\/span><\/span><\/span><\/span>RpcBindingFromStringBinding \/\/ 创建绑定句柄 <\/span><\/span><\/span><\/code><\/pre>PetitPotam利用分析<\/h3> EFSRPC协议<\/strong>：<\/p> 接口UUID：c681d488-d850-11d0-8c52-00c04fd90f7e<\/code><\/li> 端点：\pipe\lsarpc<\/code><\/li> 关键函数：EfsRpcOpenFileRaw<\/code><\/li> <\/ul> <\/li> 利用原理<\/strong>：<\/p> 通过UNC路径欺骗lsass.exe访问恶意管道<\/li> 利用格式：\\127.0.0.1\/pipe\/attacker\C$\test<\/code><\/li> 需要SecurityImpersonation<\/code>权限<\/li> <\/ul> <\/li> 修复情况<\/strong>：<\/p> CVE-2021-36942修复后无法再利用UNC欺骗<\/li> <\/ul> <\/li> <\/ol> 0x04 DiagTrack服务提权技术<\/h2> 服务分析<\/h3> 服务名称<\/strong>：诊断跟踪服务（DiagTrack）<\/li> 默认状态<\/strong>：自动运行<\/li> 可利用RPC接口<\/strong>： UtcApi_StartCustomTrace<\/code><\/li> UtcApi_SnapCustomTrace<\/code><\/li> <\/ul> <\/li> <\/ol> 利用步骤<\/h3> 构造RPC客户端调用接口<\/li> 通过参数传递恶意UNC路径<\/li> 服务进程访问攻击者控制的命名管道<\/li> 模拟令牌创建SYSTEM权限进程<\/li> <\/ol> 限制条件<\/h3> 仅能从管理员提权至SYSTEM<\/li> 服务用户无法调用相关RPC接口<\/li> <\/ul> 0x05 AzureAttestService服务提权<\/h2> 服务特征<\/h3> 关联组件<\/strong>：SQL Server 2019默认安装<\/li> RPC接口<\/strong>： UUID：78224520-4978-4616-8075-3d514ad9896f<\/code><\/li> 端点：AzureAttestService<\/code><\/li> 协议：ncalrpc<\/code><\/li> <\/ul> <\/li> <\/ol> 利用方法<\/h3> 反编译生成IDL接口定义<\/li> 构造RPC客户端调用Proc0<\/code>函数<\/li> 通过字符串参数传递恶意UNC路径<\/li> 服务进程访问攻击者管道<\/li> 模拟令牌实现提权<\/li> <\/ol> 适用场景<\/h3> 安装SQL Server 2019的环境<\/li> 服务账户（如SQL Server服务账户）提权<\/li> <\/ul> 0x06 总结与防御建议<\/h2> 技术总结<\/h3> RPC接口Fuzz是发现本地提权漏洞的有效方法<\/p> <\/li> 关键挖掘点：<\/p> 特权进程暴露的RPC接口<\/li> 接受文件\/路径参数的函数<\/li> 缺乏严格身份验证的接口<\/li> <\/ul> <\/li> 利用条件：<\/p> 需要SecurityImpersonation<\/code>权限<\/li> 可通过服务账户提权至SYSTEM<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h3> 禁用不必要的RPC服务<\/li> 及时安装安全更新（如KB5005408修复PetitPotam）<\/li> 限制服务账户权限<\/li> 监控命名管道异常访问<\/li> <\/ol> 研究资源<\/h3> RpcView工具：https:\/\/github.com\/silverf0x\/RpcView<\/li> 符号链接测试工具：https:\/\/github.com\/googleprojectzero\/symboliclink-testing-tools<\/li> 参考实现： https:\/\/github.com\/crisprss\/magicAzureAttestService<\/li> https:\/\/github.com\/crisprss\/PetitPotam<\/li> <\/ul> <\/li> <\/ol> 通过系统化的RPC接口分析和Fuzz技术，研究人员可发现更多潜在的本地提权漏洞，提升Windows系统安全性。<\/p>

Windows RPC挖掘与本地提权技术研究<\/h1>

0x02 RPC Fuzz方法论<\/h2>

RPC基础概念<\/h3> RPC（远程过程调用）是Windows中重要的IPC机制之一，用于进程间通信。DCE\/RPC是Windows的RPC实现，用于本地或远程机器上的进程交互。RPC服务器中的漏洞可能导致DoS、RCE或LPE（本地权限提升）。<\/p>

工具选择与配置<\/h3>

0x03 RPC通信原理与PetitPotam实现<\/h2>

0x04 DiagTrack服务提权技术<\/h2>

0x05 AzureAttestService服务提权<\/h2>

0x06 总结与防御建议<\/h2>

RPC基础概念<\/h3>
RPC（远程过程调用）是Windows中重要的IPC机制之一，用于进程间通信。DCE\/RPC是Windows的RPC实现，用于本地或远程机器上的进程交互。RPC服务器中的漏洞可能导致DoS、RCE或LPE（本地权限提升）。<\/p>