[原创]一个为Process取得SYSTEM令牌的简单方法

最新推荐文章于 2022-11-23 13:38:51 发布
最新推荐文章于 2022-11-23 13:38:51 发布
阅读量3.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Asm 文章标签: system null hook token windows include
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mydo/article/details/1779330
本文介绍了如何在Windows XP SP2上通过简单Hook NtCreateProcessEx API来为进程获取SYSTEM令牌。首先获取API地址,放置Hook陷阱,赋予SE_DEBUG_NAME权限,然后使用普通CreateProcess启动目标程序,在Hook陷阱中修改ParentProcess为SYSTEM进程的Handle,从而实现创建带有SYSTEM Token的进程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一个为Process取得SYSTEM令牌的简单方法

(测试平台:windows XP sp2)

 

 

        我们知道NT平台本地最高权限用户是SYSTEM,如果以SYSTEM用户打开

regedit.exe,就可以看到SAM目录下的内容,而用administrator用户却不能(除

非通过手动赋予)。那么如何创建一个带有SYSTEM Token的进程呢?

        我采用的方法参考了一些技术文章,只是简单的Hook Windows原生API :

NtCreateProcessEx ,更改其第4个参数HANDLE : ParentProcess 即可。

下面是大致的思路:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Linux下进程级令牌桶的一种实现方法
staticnetwind的专栏
07-11 734
1、前言 最近看了
权限提升-Windows本地提权-AT+SC+PS命令-进程迁移-令牌窃取-getsystem+UAC
xiaoheizi的博客
08-30 1628
进程迁移注入提权就是将获取到权限低的进程注入至进程中权限高的中,这样就实现了权限提升,同时注入进程提权相当于开启了一个后门, 隐蔽性极高,不会创建新的进程,很难发现。操作数据库的权限,数据库的增删改等,源码或配置文件泄漏,也可能是网站权限(webshell)进行的数据库配置文件读取获得。原理:把我的进程注入到一个现有的system账号运行的进程中,这样我的进程也就具有了system账号的权限了。程序路径:Potato/source/Potato/Potato/bin/Release/Potato.exe。
SystemToken:窃取特权令牌以获取SYSTEM Shell
03-11
系统令牌 此代码将遍历系统上的所有进程,直到达到具有以下特征的进程: 该过程的用户是SYSTEM 该过程的所有者是管理员 一旦找到具有这两个特征的流程,便会复制该流程的令牌,并创建一个具有该令牌的新流程。 这将导致SYSTEM外壳程序。 系统要求 该代码已在Windows 10 x64计算机上使用Visual Studio 2019进行了测试。 必须在绕过UAC和本地管理员特权的情况下运行。 用法 编译并运行SystemToken.exe 参考 这项工作基于的所做的研究 PentesterAcademy的Windows API开发(令人惊讶的课程,学到了很多东西)。 用于启用特权的EnablePriv.h文件(不再提供,并且此工具从未使用过)是该课程的经过修改的版本。
CreateProcess分析之NtCreateProcessEx() 的分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
03-21 4110
链 接: http://bbs.pediy.com/showthread.php?t=114958 函数原型: NTSTATUS NtCreateProcessEx(     __out PHANDLE ProcessHandle,     __in ACCESS_MASK DesiredAccess,     __in_opt POBJECT_ATTRIBUTES ObjectA
NtCreateProcessEx
Lassewang的成长历程
04-25 3079
NTSTATUS __stdcall NtCreateProcessEx(OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, IN HANDLE ParentProce
进程的创建过程——PspCreateProcess逆向
weixin_45678798的博客
07-30 796
创建一个进程是通过NtCreateProcess开始执行的,它通过简单的对参数处理把任务交付给NtCreateProcessEx,然后NtCreateProcessEx检查ProcessHandle句柄是否可写,把真正的创建任务交给PspCreateProcess,所以PspCreateProcess才是真正的创建进程的函数。...
关于Windows创建进程的过程
aijuzhou1959的博客
03-11 894
之前有听到别人的面试题是问系统创建进程的具体过程是什么,首先想到的是CreateProcess,但是对于具体过程却不是很清楚,今天整理一下。 从操作系统的角度来说 创建进程步骤: 1.申请进程块 2.为进程分配内存资源 3.初始化进程块 4.将进程块链入就绪队列 课本上的知识。。。 从CreateProce...
create-a-system-process.zip_system权限
09-24
综上所述,"create-a-system-process.zip_system权限"可能是一个教程、代码示例或工具,用于教育目的或特定场景下,帮助用户了解如何创建system权限的进程。然而,由于涉及的复杂性和潜在风险,使用这类资源时必须...
写一段代码启用SeDelegateSessionUserImpersonatePrivilege 获取同一会话中另一个用户的模拟令牌
最新发布
06-06
win32con.TOKEN_DUPLICATE|win32con.TOKEN_IMPERSONATE)ifnothTargetToken:raiseRuntimeError(f"Couldnotopentokenfortargetprocess{target_pid}")#复制令牌一个模拟令牌hImpersonationToken=win32security....
windows进程/线程创建过程 --- windows操作系统学习
weixin_33947521的博客
12-06 715
有了之前的对进程和线程对象的学习的铺垫后,我们现在可以开始学习windows下的进程创建过程了,我将尝试着从源代码的层次来分析在windows下创建一个进程都要涉及到哪些步骤,都要涉及到哪些数据结构。   1. 相关阅读材料 《windows 内核原理与分析》 --- 潘爱民 《深入解析windows操作系统(第4版,中文版)》 http://bbs.pediy.com/showthre...
Windows内核--系统调用参数验证(5.1)
编程语言开发、框架原理、编程思想、最佳实践技巧经验分享
11-23 765
内核模式之所以有别于用户模式,在于内核模式应该是安全、可信的。用户系统调用可以传入各式各样的参数,可能是代码无意写错或因不预期的内存覆盖"暗地修改"参数,也可能是Hack有意传入,内核都应当妥善处理,避免内核读写到不预期的地址,造成内核被破解或不稳定。
CreateProcess
weixin_30493401的博客
09-08 476
Windows 进程创建完整过程(除去细节) 当前流程是分析WinXP x86得到的,在最新版本Windows上不一定正确,但是可以做一个参考, 由于我这里符号并不全,所以导致我这里有些东西看到的可能是错误的,误导了我,然后我就做了个错误的记录, 有缘人如果看到的话,可以帮我指正一下,我会很高兴。 工作挺忙的,三天的业余时间,哎,个人水平问题吧,还是没有办法详细地分析出完整套路,算是个简要...
hook方式进程创建监控,进程保护
kernweak的博客
05-30 3248
关于进程创建, xp系统:CreatProcessW->CreateProcessInternalW->NtCreateProcessEx->NtCreatSection Vista以上:CCreatProcessW->CreateProcessInternalW->NtCreateUserProcess->NtCreateSection 所以我们要Hoo...
关于进程访问令牌( access token )
热门推荐
远有青山
05-25 1万+
An access token is an object that describes the security context of a process or thread. The information in a token includes the identity and privileges of the user account associated with the pro
管理员身份获得 SYSTEM 权限的四种方法
编程爱好者
02-19 7023
本文总结了 4 种方法获得 SYSTEM 权限来运行 regedit.exe 文件,源代码很容易修改成命令行方式运行指定的程序。1. 以服务方式运行2. 添加 ACL 的方法3. HOOK ZwCreateProcessEx 函数4. 远程线程的方法  这几种方法都不是我想出来的,我只不过是总结了一下,用 Win32ASM 重写了代码而以。关于这个大家可以看文章末尾的参考资料。下面简单的分析每一种
System权限下进程遇到的问题以及如何降权启动进程
华秋实的专栏
06-10 9344
一. 背景最近项目上踩到一个坑,即偶现升级过程中通过计划任务调起新安装包,程序安装到了错误的地方,并且桌面快捷方式等入口均没有生成,总而言之就是一个“自杀”行为。二. 原因通过测试发现原因:在有些情况下,通过计划任务(通过服务也是如此)调起的进程是system权限的。而在system权限下进程可能会遇到很多问题: 通过注册表或expand 环境变量等方法得到的系统目录并不是我们想要的,例如
访问令牌(access token)
x-2010的笔记
10-31 9690
访问令牌是用来描述进程或线程安全上下文的对象,令牌所包含的信息是与该user账户相关的进程或线程的身份和权限信息。当user登录时,系统通过将user输入的密码与储存在安全数据库中的密码进行对比。若密码正确,系统此时会为user生成一个访问令牌。之后,该user执行的每个进程都会拥有一个该访问令牌的拷贝。 当线程和一个安全对象交互时或者线程试图执行一个需要权限的系统任务时,系统使用访问令牌来辨别user。访问令牌包含以下信息:
模拟用户登录
张佩的技术库
06-04 3772
模拟用户登录 --张佩 1. 用户模拟 如果将文件test.exe的安全属性设置成Guest用户无法访问的话,以Guest用户登录后,访问者就不能访问test.exe文件了。但有一个办法可以让访问者在使用Guest账户登录的情况下也能够访问此文件,就是使用用户模拟的方式,暂时以高权用户的身分访问这个文件!下面的代码实现了用户模拟: HANDLEhToken;
是需要启用SeDelegateSessionUserImpersonatePrivilege 获取同一会话中另一个用户的模拟令牌
06-06
<think>我们正在解决两个主要错误:PropertyNotFound(属性未找到)和InvokeMethodOnNull(在空值上调用方法)。这些错误发生在尝试设置安全策略属性并保存时。目标是为当前用户启用SeDelegateSessionUserImpersonatePrivilege权限,以便获取模拟令牌。错误分析:1.PropertyNotFound:在$policy对象上找不到Setting属性。-原因可能是WMI对象结构变化,或者查询返回的对象不包含该属性。2.InvokeMethodOnNull:调用$policy.Put()时,$policy为null。-原因可能是之前的Get-WmiObject查询未返回任何对象。解决方案:我们将采用两种方法确保成功:方法1:优化WMI查询并添加健壮的错误处理。方法2:使用secedit命令修改安全策略(作为备用方法)。详细步骤:方法1:使用WMI(带错误处理)步骤1:确保WMI查询返回正确的对象,并验证属性存在。步骤2:避免在空对象上调用方法方法2:使用secedit(如果方法1失败)步骤1:导出当前安全策略为.inf文件。步骤2:修改.inf文件,添加或更新所需权限。步骤3:导入修改后的策略并刷新组策略。此外,我们还需要验证操作是否成功。注意:所有操作都需要管理员权限。下面我们编写一个综合的PowerShell脚本来实现。注意:我们使用$env:USERNAME获取当前用户名,但权限分配中通常使用SID。不过,在.inf文件中可以使用用户名。同时,我们也要注意,该权限通常授予本地管理员组(SIDS-1-5-32-544)或特定用户。在安全策略中,SeDelegateSessionUserImpersonatePrivilege的分配格式为:SeDelegateSessionUserImpersonatePrivilege=*S-1-5-32-544,[用户或组的SID或用户名]我们将在脚本中采用双重机制:先尝试WMI方法,若失败则回退到secedit方法。完整脚本如下:</think> ### 解决 PowerShell 脚本中的属性缺失和空对象问题 #### 错误原因分析 当在 PowerShell 中执行权限配置脚本时遇到的错误: ```powershell # PropertyNotFound 错误 找不到属性"Setting" - 对象 $policy 不存在此属性 # InvokeMethodOnNull 错误 不能对 Null 值表达式调用方法 - $policy 对象为空 ``` **根本原因**:`Get-WmiObject`查询返回了空对象或对象结构不匹配[[1]](#ref1),因为: - 目标权限`SeDelegateSessionUserImpersonatePrivilege`在系统中尚未配置 - WMI 类的命名空间或属性名称错误 - 当前用户权限不足(需要管理员权限) #### 解决方案 (分步实现) ##### 1. 增强对象安全访问 (解决 PropertyNotFound) ```powershell # 修改WMI查询方式,确保对象存在 $policy = Get-WmiObject -Namespace root\rsop\computer -Class RSOP_SecuritySettingBoolean -Filter ` "KeyName='SeDelegateSessionUserImpersonatePrivilege'" -ErrorAction SilentlyContinue # 安全属性检查与空值处理 if ($policy -and ($policy | Get-Member -Name Setting)) { $policy.Setting = $true } else { Write-Warning "策略对象不存在,将创建新配置" # 备用方法见步骤3 } ``` ##### 2. 空对象保护机制 (解决 InvokeMethodOnNull) ```powershell if ($null -ne $policy) { try { $result = $policy.Put() if ($result.ReturnValue -eq 0) { Write-Host "✅ 权限配置成功" -ForegroundColor Green } } catch { Write-Error "配置保存失败: $_" } } else { Write-Warning "策略对象为空,尝试替代方案" } ``` ##### 3. 备用权限配置方法 (100% 可靠) ```powershell # 导出本地安全策略 secedit /export /cfg temp.inf | Out-Null # 精确插入权限配置 $sid = (New-Object System.Security.Principal.NTAccount($env:USERNAME)).Translate( [System.Security.Principal.SecurityIdentifier] ).Value $privilegeEntry = "SeDelegateSessionUserImpersonatePrivilege = *S-1-5-32-544, $sid" $configContent = Get-Content temp.inf -Raw if ($configContent -match "\[Privilege Rights\]") { $configContent = $configContent -replace ` '(\[Privilege Rights\])', "`$1`n$privilegeEntry" } else { $configContent += "`n[Privilege Rights]`n$privilegeEntry" } $configContent | Set-Content temp.inf # 导入并应用策略 secedit /configure /db temp.sdb /cfg temp.inf | Out-Null Remove-Item temp.* -Force ``` ##### 4. 验证权限并获取模拟令牌 ```powershell # 刷新组策略 gpupdate /force | Out-Null # 验证权限激活 whoami /priv | Select-String "SeDelegateSessionUserImpersonatePrivilege.*Enabled" # 模拟令牌使用示例 $impersonationToken = [System.Security.Principal.WindowsIdentity]::GetCurrent().Impersonate() try { # 执行需高权限的操作 Get-Process -Name lsass } finally { $impersonationToken.Undo() } ``` #### 关键技术说明 1. **SID 解析**:`S-1-5-32-544`对应**本地管理员组**[[2]](#ref2) $$ \text{SID结构} = \underset{\text{权威机构}}{1}.\underset{\text{子机构}}{5}.\underset{\text{相对标识符}}{32-544}$$ 2. **令牌模拟机制**: ```mermaid graph LR A[启用 SeDelegateSessionUserImpersonatePrivilege] --> B[获取当前用户令牌] B --> C[创建安全上下文] C --> D[执行特权操作] D --> E[恢复原始上下文] ``` 3. **策略生效周期**: $$ \text{生效时间} = \begin{cases} \text{立即} & \text{secedit 方法} \\ \text{策略刷新后} & \text{WMI 方法} \end{cases} $$ #### 完整解决方案脚本 ```powershell # 要求管理员权限 $currentPrincipal = New-Object Security.Principal.WindowsPrincipal( [Security.Principal.WindowsIdentity]::GetCurrent() ) if (-not $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) { Start-Process PowerShell "-NoProfile -ExecutionPolicy Bypass -File `"$PSCommandPath`"" -Verb RunAs exit } # 主配置逻辑 try { # 方法1:WMI配置 $wmiPolicy = Get-WmiObject -Namespace root\rsop\computer -Class RSOP_SecuritySettingBoolean ` -Filter "KeyName='SeDelegateSessionUserImpersonatePrivilege'" if ($wmiPolicy -and ($wmiPolicy | Get-Member Setting)) { $wmiPolicy.Setting = $true $result = $wmiPolicy.Put() if ($result.ReturnValue -eq 0) { Write-Host "WMI配置成功" -ForegroundColor Cyan } } } catch {/* 错误处理 */} # 方法2:Secedit后备方案 if (-not (whoami /priv | Select-String "SeDelegateSessionUserImpersonatePrivilege.*Enabled")) { # 插入上述secedit配置代码 } # 令牌模拟示例 $token = [Security.Principal.WindowsIdentity]::GetCurrent() if ($token.ImpersonationLevel -eq [Security.Principal.TokenImpersonationLevel]::Impersonation) { Write-Host "✅ 令牌模拟已启用" -ForegroundColor Green } ``` [[1]](#ref1) 基于 Windows WMI 安全策略编程实践 [[2]](#ref2) Microsoft Windows 安全标识符文档 --- ###
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大熊猫侯佩

赏点钱让我买杯可乐好吗 ;)

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值