在Session 0中创建用户进程

最新推荐文章于 2023-06-12 16:52:28 发布
转载 最新推荐文章于 2023-06-12 16:52:28 发布 · 1.9k 阅读 · 4

本文介绍在Windows系统中如何在Session0中创建进程,包括两种实现方法,并解释了为何从Windows7开始,服务被隔离在Session0,以提高安全性。
在Windows XP, Windows Server 2003或者更早期的Windows操作系统中,所有的服务和应用程序都是运行在与第一个登录到控制台的用户得Session中。这个Session叫做Session 0。在Session 0 中一起运行服务和用户应用程序,由于服务是以高权限运行的,所以会造成一些安全风险。这些因素使得一些恶意代理利用这点,来寻找提升他们自身权限的结构。

在Windows7中,服务在一个叫做Session 0 的特殊Session中承载。由于应用程序运行在用户登录到系统后所创建的Session 0 之后的Session中,所以应用程序和服务也就隔离开来:第一个登录的用户在Session 1中,第二个在Session 2中,以此类推。事实上运行在不同的Session中,如果没有特别将其放入全局命名空间(并且设置了相应的访问控制配置),是不能互相传递窗体消息,共享UI元素或者共享kernel对象。

利用CreateProcessAsUser,我们可以在Session 0中创建用户进程,下面提供两种创建方式:


typedef   BOOL   (*FUNCTypeA)(   LPVOID*,   HANDLE,   BOOL)   ;   
typedef   BOOL   (*FUNCTypeB)(   LPVOID   ); 

typedef	DWORD (WINAPI* PWTSActiveSessionID)(); 

DWORD GetActiveConsoleSessionId()
{ 
	PWTSActiveSessionID pWTSActiveSessionID;
	DWORD dwResult = 0; 	
	HINSTANCE hKernal32 = NULL; 

	do { 	
		OSVERSIONINFO os = {sizeof(OSVERSIONINFO)}; 	
		GetVersionEx(&os);	
		if(os.dwMajorVersion == 5 && os.dwMinorVersion==0)
		{ 
			break; 	
		} 	
		else
		{
			hKernal32 = LoadLibrary(_T("kernel32.dll")); 		
			if(hKernal32 == NULL)
			{
				break; 
			}
			pWTSActiveSessionID = (PWTSActiveSessionID)GetProcAddress(hKernal32, "WTSGetActiveConsoleSessionId" ); 			
			if(pWTSActiveSessionID == NULL)
			{
				break; 			
			}
			dwResult = pWTSActiveSessionID();	
		} 

	} while(FALSE); 

	if(hKernal32 != NULL) 
		FreeLibrary(hKernal32);

	return dwResult;
} 
BOOL CreateUserProcess1(LPTSTR szMonName)
{
	DWORD	dwSessionId;
	BOOL	bResult;
	HANDLE	hTokenThis = NULL; 
	HANDLE	hTokenDup = NULL; 
	HANDLE	hThisProcess;

	STARTUPINFO  starinfo;
	PROCESS_INFORMATION processinfo;

	HMODULE   hModule;

	FUNCTypeA   CreateEnvironmentBlock;   
	FUNCTypeB   DestroyEnvironmentBlock;  

	hThisProcess	= GetCurrentProcess(); 
	DWORD ddd  = GetLastError();
	bResult	= OpenProcessToken(hThisProcess,TOKEN_ALL_ACCESS, &hTokenThis); 	

	ddd  = GetLastError();

	bResult = DuplicateTokenEx(hTokenThis, MAXIMUM_ALLOWED,NULL, SecurityIdentification, TokenPrimary, &hTokenDup); 

	dwSessionId = GetActiveConsoleSessionId();
	bResult = SetTokenInformation(hTokenDup, TokenSessionId, &dwSessionId, sizeof(DWORD));     	

	hModule =LoadLibrary(_T("userenv.dll")); 
	if (hModule)   
	{   
		CreateEnvironmentBlock = (FUNCTypeA) GetProcAddress(hModule,"CreateEnvironmentBlock");   
		DestroyEnvironmentBlock= (FUNCTypeB)GetProcAddress(hModule,"DestroyEnvironmentBlock");   
	}  	

	ZeroMemory( &starinfo, sizeof(STARTUPINFO) );
	ZeroMemory( &processinfo, sizeof(PROCESS_INFORMATION) );

	starinfo.cb = sizeof(starinfo);  
	starinfo.wShowWindow = SW_SHOWNORMAL;
	starinfo.dwFlags |= STARTF_USESTDHANDLES;
	starinfo.lpDesktop = L"WinSta0\\Default";

	FreeLibrary(hModule);	

	TCHAR zsAppName[MAX_PATH];
	_tcscpy(zsAppName,szMonName);
	bResult = CreateProcessAsUser(	hTokenDup,
		zsAppName,
		NULL,
		NULL,
		NULL,
		TRUE,
		NORMAL_PRIORITY_CLASS,
		NULL,
		NULL,
		&starinfo,
		&processinfo);					

	CloseHandle(hTokenDup);	
	
	if(bResult)
	{
		CloseHandle(processinfo.hThread);
		CloseHandle(processinfo.hProcess);
		return TRUE;	
	}

	return 0;	
}

typedef DWORD (*WTSGETACTIVECONSOLESESSIONID)(void);
typedef BOOL (WINAPI *WTSQUERYUSERTOKEN)(ULONG,PHANDLE);
WTSQUERYUSERTOKEN WTSProc=NULL; 
HMODULE hModWTS=NULL;
BOOL CreateUserProcess2(TCHAR *filename)
{     
	PROCESS_INFORMATION pInfo; 
	STARTUPINFO sInfo;    
	BOOL	bRet = FALSE;

	ZeroMemory(&sInfo,sizeof(sInfo));
	ZeroMemory(&pInfo,sizeof(pInfo));

	sInfo.cb=sizeof(STARTUPINFO);
	sInfo.cbReserved2=0;
	sInfo.dwFillAttribute=0;
	sInfo.dwFlags=STARTF_USESHOWWINDOW;
	sInfo.wShowWindow=SW_SHOW;
	sInfo.lpDesktop = L"winsta0\\default";
	
	HANDLE hToken=NULL; 
	HMODULE hmod = LoadLibrary( L"kernel32.dll");
	if(hmod == NULL)
	{        
		return bRet;
	}

	WTSGETACTIVECONSOLESESSIONID lpfnWTSGetActiveConsoleSessionId = (WTSGETACTIVECONSOLESESSIONID)GetProcAddress(hmod, "WTSGetActiveConsoleSessionId"); 
	DWORD dwSessionId=-1;

	
	dwSessionId = lpfnWTSGetActiveConsoleSessionId();
	FreeLibrary(hmod);

	hModWTS = LoadLibrary( L"wtsapi32.dll");

	if(hModWTS !=NULL)
	{
		WTSProc = (WTSQUERYUSERTOKEN) GetProcAddress(hModWTS, "WTSQueryUserToken");
		TCHAR zsAppName[MAX_PATH];
		_tcscpy(zsAppName,filename);
		if(WTSProc!=NULL)
		{ 
			if(WTSProc(dwSessionId,&hToken)!=0)
			{
				if(CreateProcessAsUser(hToken,NULL,zsAppName,NULL,NULL,FALSE,NORMAL_PRIORITY_CLASS ,NULL,NULL,&sInfo,&pInfo))
				{                     
					CloseHandle(pInfo.hThread);
					CloseHandle(pInfo.hProcess); 
					bRet = TRUE;
				}
				CloseHandle(hToken);
			}
		}
		FreeLibrary(hModWTS);
		hModWTS = NULL;
	}

	return bRet;
}


突破SESSION 0隔离创建用户进程
weixin_42071117的博客
10-16 913
// 病毒木马通常会把自己注入系统服务进程或是伪装成系统服务进程,并运行在SESSION 0中。 // 处于SESSION 0中的进程能执行普通程序的绝大部分操作,但是不能创建UI界面以及通过消息机制与普通进程进行通信。 // 从Vista开始,微软为windows添加了SESSION机制,也叫做会话隔离机制,目的就是将系统服务进程与普通用户进程进行隔离,运行在不同的权限下。 // 一般只有服务进程才能运行在SESSION 0中。 // 为了让系统进程创建带UI的、能通信的用户进程,微软提供了以WTS
关于win7的session0隔离的总结
行者无疆的专栏
12-06 4497
微软做这个session隔离的原因我就不追查了,反正让人有蛋蛋的忧伤。       在vista以前的系统,后台服务和当前用户进程都运行在同一个session中(本地系统登录时的第一个session中),只有从远端登录的时候会建立新的session。       在vista以后的系统,系统动后,后台服务运行在session0中,第一个登录的用户运行在session1当中,后续登录的有ses
VS与Win7共舞:系统服务的Session 0隔离
highyyy的专栏
01-12 5260
<br /><br /> 隔离,是为了更好的保护。但是,众所周知的,隔离也会给我们的生活带来一些不便。在Windows 7中,操作系统服务的Session 0隔离,阻断了系统服务和用户桌面进程之间进行交互和通信的桥梁。通过Session 0隔离,虽然可以让操作系统更加安全,但是也给系统服务带来了不少兼容性的问题。<br />        系统服务在Windows 7上遇到的问题<br />  操作系统服务是Windows操作系统中一套完整的机制。服务不同于普通用户程序之处在于,你可以配置服务,让它们从系统
服务注册器创建服务+突破SESSION 0隔离创建用户进程
yeanhoo的博客
09-24 652
服务注册器创建服务+突破SESSION 0隔离创建用户进程 病毒木马通常会把自己注入系统服务进程或是伪装成系统服务进程,并运行在SESSION 0中。处于 SESSION 0中的程序能正常执行普通程序的绝大部分操作,但是个别操作除外。例如,处于SESSION 0中 的系统服务进程,无法与普通用户进程通信,不能通过Windows消息机制进行通信,更不能创建普通的用户进程。从Windows VISTA开始,只有服务可以托管到SESSION 0中。 注册自身为服务,在session 0创建用户进程(全局互
Windows中的用户权限和session限制(创建工作在不同用户权限和Session下的进程
最爱吹吹风
05-28 3496
Windows中的进程都会绑定一个token(权限令牌),这个token记录了该进程的权限,不同的用户有不同的权限,所以不同用户动的进程时绑定的token是不同的,可以修改这个token,让进程或禁用已经拥有的权限(SetTokenInformation)。注意不是增加,是修改,因为token是用户的权限策略,如果该用户没有这个权限,那么在他动的进程中是不可能增加这个权限的。 Win7...
Windows平台下的session0创建进程的问题与解决办法
p15097962069的博客
08-23 261
Windows平台下的session0创建进程的问题与解决办法
精选_突破Session0隔离在系统服务程序中创建用户桌面进程_源码打包
03-10
然而,在某些情况下,如开发特定的系统服务或调试目的,我们可能需要在Session 0创建用户桌面进程。本文将详细讲解如何在系统服务程序中突破Session0隔离,并创建用户桌面进程。 首先,理解Session的概念是关键。...
vista和win7在windows服务中交互桌面权限问题解决方法:穿透Session 0 隔离
09-02
例如,服务可以动一个新进程,并指定在目标用户Session中运行,从而绕过Session 0隔离的限制。 总的来说,Session 0隔离虽然提高了系统的安全性,但也增加了服务与桌面交互的复杂性。开发者在设计和实现服务时...
创建用户桌面进程突破Session0隔离技术分享
所有系统服务默认在Session0中运行,而用户的登录会话Session1或更高。这种隔离机制使得服务和用户程序之间的交互变得复杂。 2. 系统服务程序:这是指在操作系统级别运行的应用程序,通常用于执行系统级任务,如...
asp.net中穿透Session 0 隔离(二)
10-27
然后,使用这个令牌,我们可以调用`CreateProcessAsUser`创建一个新进程,该进程将在用户Session中运行,而不是在Session 0中。 请注意,使用这些API进行跨Session通信可能会带来安全风险,因为服务可能需要更高...
创建属于其他Session进程
weixin_38166852的博客
05-28 74
创建其他Session(User)的进程需要拿到对应Session的Token作为CreateProcessAsUser的参数来进程。 修改有System权限的Token的TokenId为其他Session的TokenId就可以在其他Session里面创建有System权限的进程了。 相关的Blog:https://blog.youkuaiyun.com/highyyy/ar...
Windows session0 问题
不定期更新的博客
09-15 905
Windows session0 问题
Windows服务——Session0穿透
qq_40404477的博客
09-13 4904
前言     做WindowsAPI编程最重要的就是要多查MSDN。     当然,如果没有找到前辈们提供的代码,再怎么查都是白搭。 Session0隔离     简单来说就是,Windows将应用程序根据Windows账户分为了多个Session,比如:Administor打开的进程可能属于Session1,而另一个账户Civilian打开的进程就属于Session2。     系统中还存在一种...
session 0 隔离
weixin_36587312的博客
03-20 428
https://www.cnblogs.com/Y1Focus/p/6707121.html
win7下关于session 0 存在的问题
hecgaoyuan的专栏
04-03 1882
好久没写了,因为最近工作比较忙,开发任务比较多吧,遇到了win7下session 0的问题,其实在网上大家可以搜索看到类似的文章挺多的,但是具体的解决办法说的比较详细的那种还是不多的,所以我今天拿出来谈谈自己得一些看法。XP慢慢开始被WIN7顶替了,但是还是存在一定用户,开发的程序需要兼容winxp,win7,winserver2003,winserver2008.关于服务隔离文字这篇将的比较通俗
Vista/win7 Session 0隔离
Stone_Sky
08-07 2560
 转自:http://technet.microsoft.com/zh-cn/ee791007.aspx 面试问题:Vista与XP的Session 0Session X的区别 在XXXXX的一次面试中,笔试问题的题目曾提到Session 0Session 1在Vista和Xp中的区别?现在把答案发上来Sharing。 首先,在Windows XP/2
远程线程注入之突破Session0隔离会话
xf555er的博客
06-12 1619
当我们使用远程线程注入将dll注入至系统服务进程中往往会失败,这是因为大多数系统服务都是在Session0中运行的 "Session 0"是Windows操作系统中的一个特殊的会话,专门用于运行系统服务和其他在用户登录之前就需要运行的程序。从Windows Vista和Windows Server 2008开始,为了提高安全性,Windows将用户和系统服务分隔在不同的会话中。具体来说,所有的服务和系统任务都在Session 0中运行,而所有用户交互任务都在其他会话中运行
[笔记]Windows安全之《二》Session0隔离及相关动技术
二次元怪兽的博客
03-25 1830
文章目录前言 前言
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值