提权相关函数

最新推荐文章于 2024-08-26 21:34:34 发布
最新推荐文章于 2024-08-26 21:34:34 发布
阅读量4.5k 收藏 11
点赞数
CC 4.0 BY-SA版权
分类专栏: 技术总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wowolook/article/details/8451631 

//提升权限
bool EnableSpecificPrivilege(LPCTSTR lpPrivilegeName)
{

	HANDLE hToken = NULL;
	TOKEN_PRIVILEGES Token_Privilege;
	BOOL bRet = TRUE;

	do 
	{
		if (0 == OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
		{
			OutputDebugView(_T("OpenProcessToken Error"));
			bRet = FALSE;
			break;
		}

		if (0 == LookupPrivilegeValue(NULL, lpPrivilegeName, &Token_Privilege.Privileges[0].Luid))
		{
			OutputDebugView(_T("LookupPrivilegeValue Error"));
			bRet = FALSE;
			break;
		}

		Token_Privilege.PrivilegeCount = 1;
		Token_Privilege.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
		//Token_Privilege.Privileges[0].Luid.LowPart=17;//SE_BACKUP_PRIVILEGE
		//Token_Privilege.Privileges[0].Luid.HighPart=0;


		if (0 == AdjustTokenPrivileges(hToken, FALSE, &Token_Privilege, sizeof(Token_Privilege), NULL,NULL))
		{
			OutputDebugView(_T("AdjustTokenPrivileges Error"));
			bRet = FALSE;
			break;
		}

	} while (false);

	if (NULL != hToken)
	{
		CloseHandle(hToken);
	}

	return bRet;

}

lpPrivilegeName 取值:

#define SE_CREATE_TOKEN_NAME              TEXT("SeCreateTokenPrivilege")#define SE_ASSIGNPRIMARYTOKEN_NAME        TEXT("SeAssignPrimaryTokenPrivilege")#define SE_LOCK_MEMORY_NAME               TEXT("SeLockMemoryPrivilege")#define SE_INCREASE_QUOTA_NAME            TEXT("SeIncreaseQuotaPrivilege")#define SE_UNSOLICITED_INPUT_NAME         TEXT("SeUnsolicitedInputPrivilege")#define SE_MACHINE_ACCOUNT_NAME           TEXT("SeMachineAccountPrivilege")#define SE_TCB_NAME                       TEXT("SeTcbPrivilege")#define SE_SECURITY_NAME                  TEXT("SeSecurityPrivilege")#define SE_TAKE_OWNERSHIP_NAME            TEXT("SeTakeOwnershipPrivilege")#define SE_LOAD_DRIVER_NAME               TEXT("SeLoadDriverPrivilege")#define SE_SYSTEM_PROFILE_NAME            TEXT("SeSystemProfilePrivilege")#define SE_SYSTEMTIME_NAME                TEXT("SeSystemtimePrivilege")#define SE_PROF_SINGLE_PROCESS_NAME       TEXT("SeProfileSingleProcessPrivilege")#define SE_INC_BASE_PRIORITY_NAME         TEXT("SeIncreaseBasePriorityPrivilege")#define SE_CREATE_PAGEFILE_NAME           TEXT("SeCreatePagefilePrivilege")#define SE_CREATE_PERMANENT_NAME          TEXT("SeCreatePermanentPrivilege")#define SE_BACKUP_NAME                    TEXT("SeBackupPrivilege")#define SE_RESTORE_NAME                   TEXT("SeRestorePrivilege")#define SE_SHUTDOWN_NAME                  TEXT("SeShutdownPrivilege")#define SE_DEBUG_NAME                     TEXT("SeDebugPrivilege")#define SE_AUDIT_NAME                     TEXT("SeAuditPrivilege")#define SE_SYSTEM_ENVIRONMENT_NAME        TEXT("SeSystemEnvironmentPrivilege")#define SE_CHANGE_NOTIFY_NAME             TEXT("SeChangeNotifyPrivilege")#define SE_REMOTE_SHUTDOWN_NAME           TEXT("SeRemoteShutdownPrivilege")#define SE_UNDOCK_NAME                    TEXT("SeUndockPrivilege")#define SE_SYNC_AGENT_NAME                TEXT("SeSyncAgentPrivilege")#define SE_ENABLE_DELEGATION_NAME         TEXT("SeEnableDelegationPrivilege")#define SE_MANAGE_VOLUME_NAME             TEXT("SeManageVolumePrivilege")#define SE_IMPERSONATE_NAME               TEXT("SeImpersonatePrivilege")#define SE_CREATE_GLOBAL_NAME             TEXT("SeCreateGlobalPrivilege")#define SE_TRUSTED_CREDMAN_ACCESS_NAME    TEXT("SeTrustedCredManAccessPrivilege")#define SE_RELABEL_NAME                   TEXT("SeRelabelPrivilege")#define SE_INC_WORKING_SET_NAME           TEXT("SeIncreaseWorkingSetPrivilege")#define SE_TIME_ZONE_NAME                 TEXT("SeTimeZonePrivilege")#define SE_CREATE_SYMBOLIC_LINK_NAME      TEXT("SeCreateSymbolicLinkPrivilege")

Note:访问令牌说简单了就是个访问权限的数据集合,令牌中包含用户所有的权限,校验令牌可以识别用户是否有权限访问他要访问的位置
LookupPrivilegeValue 函数查看系统权限的特权值,返回信息到一个LUID结构体里。
  BOOL LookupPrivilegeValue(LPCTSTR lpSystemName,LPCTSTR lpName,PLUID lpLuid);
  第一个参数表示所要查看的系统,本地系统直接用NULL
  第二个参数表示所要查看的特权信息的名称,定义在winnt.h中,具体指请MSDN索引“windows nt privileges”
  第三个参数用来接收所返回的制定特权名称的信息。
  函数调用成功后,信息存入第三个类型为LUID的结构体中,并且函数返回非0。
  函数定义在winbase.h中,链接使用advapi32.lib库。
AdjustTokenPrivileges 函数启用或禁止 指定访问令牌的特权。
启用或禁用特权一个有TOKEN_ADJUST_PRIVILEGES访问的访问令牌.
   BOOL AdjustTokenPrivileges(
   HANDLE  TokenHandle //包含特权的句柄
   BOOL  DisableAllPrivileges ,
  //禁用所有权限标志
   PTOKEN_PRIVILEGES  NewState ,
  //新特权信息的指针(结构体)
   DWORD  BufferLength //大小,以字节为单位的PreviousState的缓存区(sizeof)
   PTOKEN_PRIVILEGES  PreviousState ,
  //接收被改变特权当前状态的Buffer
   PDWORD  ReturnLength//接收PreviousState缓存区要求的大小
   );
   参数
   TokenHandle
  包含要修改特权的访问令牌的标识(句柄).这个句柄必须有TOKEN_ADJUST_PRIVILEGES访问令牌.如果PreviousState不是NULL,这个句柄还必须有TOKEN_QUERY访问特权.
   DisableAllPrivileges
  标志这个函数是否禁用该令牌的所有特权.如果为TRUE,这个函数禁用所有特权,NewState参数无效.如果为假,以NewState参数指针的信息为基础来修改特权.
   NewState
  一个 TOKEN_PRIVILEGES结构体的指针指定了一组特权和他们的属性.
  如果参数DisableAllPrivileges为FALSE, AdjustTokenPrivileges启用或禁用这些令牌的特权.
  如果你给一个特权设置了SE_PRIVILEGE_ENABLED的属性,这个函数将启动特权,否则禁用特权.
  如果DisableAllPrivileges为TRUE,这个参数无效.
   BufferLength
  标志参数PreviousState指针以字节大小缓存区(sizeof).
  如果参数PreviousState是NULL,这个参数可以为NULL.
   PreviousState
  这个函数填充一个TOKEN_PRIVILEGES结构体【指针】,它包括该函数修改之前任何特权状态.这个参数可以为NULL.
  如果指定的缓冲区太小,无法收到完整的修改权限列表,这个函数失败并不会修改任何特权.
  这个函数设置了一个 拥有修改权限完成列表【 参数ReturnLength 】的字节数 的指针变量.[结果的Buffer]
   ReturnLength
  接收 参数PreviousState的缓存区指针的 字节大小 的 变量指针(长度指针).
  如果PreviousState为NULL,这个参数可以为NULL.
   返回值
  如果这个函数成功,返回非0.为了确定这个函数是否修改了所有指定的特权,可以调用 GetLastError函数,当这个函数返回下面的值之一时就代表函数成功:

提权函数之 RtlAdjustPrivilege()

RtlAdjustPrivilege() 这玩意是在 NTDLL.DLL 里的一个不为人知的函数,MS没有公开,原因就是这玩意实在是太NB了,以至于不需要任何其他函数的帮助,仅凭这一个函数就可以获得进程ACL的任意权限!下面是函数定义:NTSTATUS RtlAdjustPrivilege(         ULONG   Privilege,        BOOLEANEnable,        BOOLEANCurrentThread,        PBOOLEANEnabled)参数的含义:Privilege [In] Privilege index to change.                         // 所需要的权限名称,可以到 MSDN 查找关于 Process Token & Privilege 内容可以查到Enable [In] If TRUE, then enable the privilege otherwise disable. // 如果为True 就是打开相应权限,如果为False 则是关闭相应权限CurrentThread [In] If TRUE, then enable in calling thread, otherwise process. // 如果为True 则仅提升当前线程权限,否则提升整个进程的权限Enabled [Out] Whether privilege was previously enabled or disabled.// 输出原来相应权限的状态(打开 | 关闭), 注意:该参数赋予空指针会出错,我测试过。eg:RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE,1,0,NULL);比用 AdjustTokenPrivileges 来提升进程权限方便很多,所以自己整理下备忘这个函数封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。

常用:常量 SE_BACKUP_PRIVILEGE = 0x11h常量 SE_RESTORE_PRIVILEGE = 0x12h常量 SE_SHUTDOWN_PRIVILEGE = 0x13h常量 SE_DEBUG_PRIVILEGE = 0x14h

全部:

//// These must be converted to LUIDs before use.//#define SE_MIN_WELL_KNOWN_PRIVILEGE         (2L)#define SE_CREATE_TOKEN_PRIVILEGE           (2L)#define SE_ASSIGNPRIMARYTOKEN_PRIVILEGE     (3L)#define SE_LOCK_MEMORY_PRIVILEGE            (4L)#define SE_INCREASE_QUOTA_PRIVILEGE         (5L)#define SE_MACHINE_ACCOUNT_PRIVILEGE        (6L)#define SE_TCB_PRIVILEGE                    (7L)#define SE_SECURITY_PRIVILEGE               (8L)#define SE_TAKE_OWNERSHIP_PRIVILEGE         (9L)#define SE_LOAD_DRIVER_PRIVILEGE            (10L)#define SE_SYSTEM_PROFILE_PRIVILEGE         (11L)#define SE_SYSTEMTIME_PRIVILEGE             (12L)#define SE_PROF_SINGLE_PROCESS_PRIVILEGE    (13L)#define SE_INC_BASE_PRIORITY_PRIVILEGE      (14L)#define SE_CREATE_PAGEFILE_PRIVILEGE        (15L)#define SE_CREATE_PERMANENT_PRIVILEGE       (16L)#define SE_BACKUP_PRIVILEGE                 (17L)#define SE_RESTORE_PRIVILEGE                (18L)#define SE_SHUTDOWN_PRIVILEGE               (19L)#define SE_DEBUG_PRIVILEGE                  (20L)#define SE_AUDIT_PRIVILEGE                  (21L)#define SE_SYSTEM_ENVIRONMENT_PRIVILEGE     (22L)#define SE_CHANGE_NOTIFY_PRIVILEGE          (23L)#define SE_REMOTE_SHUTDOWN_PRIVILEGE        (24L)#define SE_UNDOCK_PRIVILEGE                 (25L)#define SE_SYNC_AGENT_PRIVILEGE             (26L)#define SE_ENABLE_DELEGATION_PRIVILEGE      (27L)#define SE_MANAGE_VOLUME_PRIVILEGE          (28L)#define SE_IMPERSONATE_PRIVILEGE            (29L)#define SE_CREATE_GLOBAL_PRIVILEGE          (30L)#define SE_TRUSTED_CREDMAN_ACCESS_PRIVILEGE (31L)#define SE_RELABEL_PRIVILEGE                (32L)#define SE_INC_WORKING_SET_PRIVILEGE        (33L)#define SE_TIME_ZONE_PRIVILEGE              (34L)#define SE_CREATE_SYMBOLIC_LINK_PRIVILEGE   (35L)#define SE_MAX_WELL_KNOWN_PRIVILEGE         (SE_CREATE_SYMBOLIC_LINK_PRIVILEGE)

关机代码

#include <windows.h>const unsigned int SE_SHUTDOWN_PRIVILEGE = 0x13;int main(){HMODULE hDll = ::LoadLibrary("ntdll.dll");typedef int (* type_RtlAdjustPrivilege)(int, bool, bool, int*);typedef int (* type_ZwShutdownSystem)(int);type_RtlAdjustPrivilege RtlAdjustPrivilege = (type_RtlAdjustPrivilege)GetProcAddress(hDll, "RtlAdjustPrivilege");type_ZwShutdownSystem ZwShutdownSystem = (type_ZwShutdownSystem)GetProcAddress(hDll, "ZwShutdownSystem");int nEn = 0;int nResult = RtlAdjustPrivilege(SE_SHUTDOWN_PRIVILEGE, true, true, &nEn);if(nResult == 0x0c000007c){nResult = RtlAdjustPrivilege(SE_SHUTDOWN_PRIVILEGE, true, false, &nEn);}nResult = ZwShutdownSystem(2);FreeLibrary(hDll);return 0;} 

==============================================

以不同用户身份运行程序

一直想方便的处理CCProxy代理的帐号管理,所以梦想做一个比较好的管理工具。但一个最麻烦的问题就是帐号的更新,CCProxy有一个网页管理功能,可以加帐号,但加的帐号就是不可以立即更新。中午上网的时候发现CCProxy有一功能就是支持命令行的操作,如:
  CCProxy -reboot  重启软件
  CCProxy -reset   更新配置
  CCProxy -update  更新帐号
   
   试着改了AccInfo.ini中帐号信息,在DOS中运行CCProxy -update的确更新了账号,所以开始用PHP做管理工具,做到调用CCProxy -update时,用了PHP中的exec(),system()等函数一直没有效果,后又通过调用批处理文件来调用命令行参数都不行。 处理得正没耐心的时候,一气之下狂刷新PHP网页,电脑卡死,用进程管理器查看时发现打开了多个CCProxy进程,认真一看,除了一个CCProxy是用户进程外其它CCProxy全是system进程。认真一想有可能是运行用户身份不同所产生的结果。
  Apache服务调用的外部程序以system身份运行,自己双击运行的程序以用户身份运行。 如果CCProxy -update以用户身份运行是不是就可以了呢?本人在网络上找到了runas这个命令,的确可以指定以哪个用户运行,但是每次都要输密码,没有密码的帐号就要加上密码才可以用,“/savecred”这个参数可以用,只要输入一次密码就可以了,但在PHP中发现要以system的身份输入一次才行,根本没有机会输入。打算用C程序来处理这个问题。可是发现用WinExec(),ShellExecute(),CreateProcess()都不好处理这个问题,好在发现了CreateProcessAsUser()这个函数。把网络上的程序改了几处,编译后一试问题终于解决。
   以下为相关代码:
// Update.cpp : 定义控制台应用程序的入口点。

#include "stdafx.h"  
#include <windows.h>  
#include <tlhelp32.h>  
  
BOOL GetTokenByName(HANDLE &hToken,LPSTR lpName)  
{  
    if(!lpName)  
        return FALSE;  
      
    HANDLE         hProcessSnap = NULL;   
    BOOL           bRet      = FALSE;   
    PROCESSENTRY32 pe32      = {0};   
      
    hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);   
    if (hProcessSnap == INVALID_HANDLE_VALUE)   
        return (FALSE);   
      
    pe32.dwSize = sizeof(PROCESSENTRY32);   
      
    if (Process32First(hProcessSnap, &pe32))   
    {    
        do   
        {  
            if(!strcmp(_strupr(pe32.szExeFile),_strupr(lpName)))  
            {  
                HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION,  
                    FALSE,pe32.th32ProcessID);  
                bRet = OpenProcessToken(hProcess,TOKEN_ALL_ACCESS,&hToken);  
                CloseHandle (hProcessSnap);   
                return (bRet);  
            }  
        }   
        while (Process32Next(hProcessSnap, &pe32));   
        bRet = TRUE;   
    }    
    else   
        bRet = FALSE;  
      
    CloseHandle (hProcessSnap);   
    return (bRet);  
}  
  
BOOL RunProcess(LPCSTR lpImage,LPSTR lpCommandLine)  
{  
    if(!lpImage)  
        return FALSE;  
      
    HANDLE hToken;  
    if(!GetTokenByName(hToken,"EXPLORER.EXE"))  
        return FALSE;  
      
    STARTUPINFO si;  
    PROCESS_INFORMATION pi;  
      
    ZeroMemory(&si, sizeof(STARTUPINFO));  
    si.cb= sizeof(STARTUPINFO);  
    si.lpDesktop = TEXT("winsta0\\default");  
      
    BOOL bResult = CreateProcessAsUser(hToken,lpImage, lpCommandLine,NULL,NULL,  
        FALSE,NORMAL_PRIORITY_CLASS,NULL,NULL,&si,&pi);  
    CloseHandle(hToken);  
    if(bResult)  
    {  
        OutputDebugString("CreateProcessAsUser ok!\r\n");  
        printf("CreateProcessAsUser ok!\r\n");  
    }  
    else  
    {  
        OutputDebugString("CreateProcessAsUse* **lse!\r\n");  
        printf("CreateProcessAsUse* **lse!\r\n");  
    }  
    return bResult;  
}  
  
int _tmain(int argc, _TCHAR* argv[])  
{  
    RunProcess("CCProxy.exe"," -update");  
    return 0;  
}

=====================================================================


用CreateProcessAsUser 创建最低权限进程


我从msdn上找到的资料,你看看
高 管理权限(进程可以将文件安装到“Program Files”文件夹,并写入敏感注册表区域,如 HKEY_LOCAL_MACHINE。)
中 用户权限(进程可在用户的“文档”文件夹创建和修改文件,并写入用户指定的注册表区域,如 HKEY_CURRENT_USER。)
低 不受信任权限(进程只能写入低完整性位置,例如 Temporary Internet Files\Low 文件夹或 HKEY_CURRENT_USER\Software\LowRegistry key)
启动低完整性进程
1.重复中等完整性进程的处理。  
2.使用 SetTokenInformation 将进程处理降低为低完整性。  
3.使用 CreateProcessAsUser 创建使用低完整性处理的新进程。

uses
  windows;
   
  function ConvertStringSidToSidA(StringSid: LPCTSTR; Sid:TSIDIdentifierAuthority): BOOL; stdcall; external 'Advapi32.dll' name 'ConvertStringSidToSidA';

const
  SE_GROUP_INTEGRITY = 1; 

#include "winnt.h"   
   
BOOL b;   
HANDLE hToken;   
HANDLE hNewToken;   
PWSTR szProcessName = "LowClient"; // 例如   
PWSTR szIntegritySid = "S-1-16-4096"; // 低完整性 SID   
PSID pIntegritySid = NULL;   
TOKEN_MANDATORY_LABEL TIL = {0};   
PROCESS_INFORMATION ProcInfo = {0};   
STARTUPINFO StartupInfo = {0};   
ULONG ExitCode = 0;   
   
b = OpenProcessToken(GetCurrentProcess(), MAXIMUM_ALLOWED,   
  &hToken);   
b = DuplicateTokenEx(hToken, MAXIMUM_ALLOWED, NULL,   
  SecurityImpersonation, TokenPrimary, &hNewToken);   
b = ConvertStringSidToSid(szIntegritySid, &pIntegritySid);   
TIL.Label.Attributes = SE_GROUP_INTEGRITY;   
TIL.Label.Sid = pIntegritySid;   
   
// 设置进程完整性级别   
b = SetTokenInformation(hNewToken, TokenIntegrityLevel, &TIL,   
  sizeof(TOKEN_MANDATORY_LABEL) + RtlLengthSid(pIntegritySid));   
   
// 设置进程的 UI 权限级别   
b = SetTokenInformation(hNewToken, TokenIntegrityLevelDesktop,   
  &TIL, sizeof(TOKEN_MANDATORY_LABEL) + RtlLengthSid(pIntegritySid));   
   
// 以低完整性创建新进程   
b = CreateProcessAsUser(hNewToken, NULL, szProcessName, NULL, NULL,   
  FALSE, 0, NULL, NULL, &StartupInfo, &ProcInfo);


实际中遇到的问题描:SKype在一个本地登录帐户里只能运行一个实例,我需要运行多个实例,那么就需要以其他帐户的身份运行skype 


有个方法: 
调用runas.exe程序。。 
只需要以runas /user:anotheruser "password" whatisgoingtorun 
运行一个新进程就解决了 
而windows默认的runas.exe是交互式输入密码, 看雪上有人将它改为了参数式输入密码(即上面的形式) 
详见看雪论坛 
以下是该帖子网址: 
http://www.pediy.com/bbshtml/bbs8/pediy8-45.htm


============================================================


微软从XP/2003开始为我们提供了一套Windows Terminal Service 的相关API,这些API都以WTS开头(请安装MSDN2005以查阅相关说明),要获得活动Session也不止一个途径,最简单的就是直接使用  
DWORD WTSGetActiveConsoleSessionId(void);  
来获得活动Session Id 。要在程序中使用这些API需要最新的Platform SDK(如果你正在使用Visual Studio 2005那么它已经具备了相关头文件和库文件可以直接使用了),如果你在使用VC++ 6.0 你也没有或者不打算安装最新的SDK那么你可以直接使用LoadLibrary() 装载wtsapi32.dll然后使用GetProcAddress()获得相关函数的地址以调用它们。我们获得了活动SessionId后就可以使用  
BOOL WTSQueryUserToken(  
ULONG SessionId,  
PHANDLE phToken  
);  
来获取当前活动Session中的用户令牌(Token),有了这个Token我们的就可以在活动Session中创建新进程了,  
BOOL CreateProcessAsUser(  
HANDLE hToken,  
LPCTSTR lpApplicationName,  
LPTSTR lpCommandLine,  
LPSECURITY_ATTRIBUTES lpProcessAttributes,  
LPSECURITY_ATTRIBUTES lpThreadAttributes,  
BOOL bInheritHandles,  
DWORD dwCreationFlags,  
LPVOID lpEnvironment,  
LPCTSTR lpCurrentDirectory,  
LPSTARTUPINFO lpStartupInfo,  
LPPROCESS_INFORMATION lpProcessInformation  
);  
将我们获得的Token作为此API的第一个参数即可,你可以先尝试一下运行一个notepad.exe看看,怎么样?你可以在控制台桌面上看到新进程了。再查看一下进程列表,该进程的用户名是当前控制台登录的用户。可是这里我们又遇到一个问题,我们需要收集当前交本机互式登录用户的一些信息,而有些操作需要很高的权限才能完成,而Vista下即使是Administraotrs用户组成员默认也是以Users权限启动进程的,所以我们创建的新进程只有Users权限,无法完成一些操作,当然我们可以使用Vista所提供的UI来询问用户以提升至管理员权限,可有些操作甚至是管理员Token也无法完成的,而且需要用户确认实在在易用性上大打折扣,所以我决定在活动Session中以SYSTEM权限启动我们的用户交互程序。显然 WTSQueryUserToken() 是不好用了。  
之前,我们提到过进程所属的Session是由进程Token中的TokenSessionId来决定的,那么我们是不是可以复制服务进程的Token然后修改其中的TokenSessionId,从而在用户桌面上创建一个具有SYSTEM权限的新进程呢?答案是肯定的。一下是实现这个操作的代码,为了缩小篇幅我删除了异常处理代码  
HANDLEhTokenThis = NULL;  
HANDLEhTokenDup = NULL;  
HANDLEhThisProcess = GetCurrentProcess();  
OpenProcessToken(hThisProcess, TOKEN_ALL_ACCESS, &hTokenThis);  
DuplicateTokenEx(hTokenThis, MAXIMUM_ALLOWED,NULL, SecurityIdentification, TokenPrimary, &hTokenDup); 
DWORDdwSessionId = WTSGetActiveConsoleSessionId();  
SetTokenInformation(hTokenDup, TokenSessionId, &dwSessionId, sizeof(DWORD));  

STARTUPINFOsi;  
PROCESS_INFORMATION pi;  
ZeroMemory(&si, sizeof(STARTUPINFO));  
ZeroMemory(&pi, sizeof(PROCESS_INFORMATION));  
si.cb = sizeof(STARTUPINFO);  
si.lpDesktop = "WinSta0//Default";  

LPVOIDpEnv = NULL;  
DWORDdwCreationFlag = NORMAL_PRIORITY_CLASS | CREATE_NEW_CONSOLE;  

CreateEnvironmentBlock(&pEnv, hTokenDup, FALSE);  

CreateProcessAsUser(  
  hTokenDup,  
  NULL,  
  (char *)"notepad",  
  NULL,  
  NULL,  
  FALSE,  
  dwCreationFlag,  
  pEnv,  
  NULL,  
  &si,  
  &pi);


windows程序方法
sowhat_Ah的专栏
02-04 2万+
Windows下应用程序如果需要做一些系统管理或进程管理之类的工作,经常需要将本进程(获取限令牌); 而通常windows下方法有两种,主要的方法是: 1)win32API——AdjustTokenPrivileges; 2)ntdll.dll——RtlAdjustPrivilege; 前者是已公开的win32系统API,后者是非公开的导出函数(藏在ntdll.dll里); 两
MySQL之UDF
2301_76227305的博客
06-08 3048
udf 全称为'user defined function',意思是'用户自定义函数'。用户可以对数据库所使用的函数进行一个扩展(windows利用dll文件,linux利用so文件),那么我们就可以利用这个特点,往MySQL里面添加一个可以执行系统命令的函数即可。udf本质就是通过添加自定义函数让MySQL能执行系统命令,仅此而已。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
函数RtlAdjustPrivilege()使用说明
09-05
RtlAdjustPrivilege() 这玩意是在 NTDLL.DLL 里的一个不为人知的函数,MS没有公开,原因就是这玩意实在是太NB了,以至于不需要任何其他函数的帮助,仅凭这一个函数就可以获得进程ACL的任意限!
择录自WINDOWS源码的函数
chenhui530的专栏
05-23 2735
#define SE_MIN_WELL_KNOWN_PRIVILEGE       (2L)#define SE_CREATE_TOKEN_PRIVILEGE         (2L)#define SE_ASSIGNPRIMARYTOKEN_PRIVILEGE   (3L)#define SE_LOCK_MEMORY_PRIVILEGE          (4L)#define SE_INCRE
函数RtlAdjustPrivilege()
dijiao7951的博客
10-03 319
RtlAdjustPrivilege() 这玩意是在 NTDLL.DLL 里的一个不为人知的函数,MS没有公开,原因就是这玩意实在是太NB了,以至于不需要任何其他函数的帮助,仅凭这一个函数就可以获得进程ACL的任意限!下面是函数定义: NTSTATUS RtlAdjustPrivilege ( ULONG Privilege, BOOLEAN Enable, B...
RtlAdjustPrivilege() 函数
mmmsss987的博客
03-29 4622
RtlAdjustPrivilege(SE_DEBUG_NAME,1,0,NULL); 这玩意是在 NTDLL.DLL 里的一个不为人知的函数,MS没有公开,原因就是这玩意实在是太NB了,以至于不需要任何其他函数的帮助,仅凭这一个函数就可以获得进程ACL的任意限! 先来看看这个函数的定义(Winehq给出): NTSTATUS RtlAdjustPrivilege ( ULONG Pri...
Linux利用UDF库实现Mysql
09-10
7. **执行系统命令**:通过UDF库中的函数执行系统命令,达到目的。具体函数名称取决于所使用的UDF库,例如`lib_mysqludf_sys`库中可能有`sys_exec`等函数,可用于执行命令。 8. **限管理**:在实际操作中,...
WEB渗透Win篇-工具合集
最新发布
qq_59468567的博客
08-26 2958
要运⾏ PowerUp,请启动 PowerShell 会话并使⽤ dot 加载脚本,请执⾏以下操。winPEAS 是⼀个⾮常强⼤的⼯具,它不仅积极寻找特升级错误配置,⽽且还在。当使⽤命令⾏时,我们有 使⽤仍具有 /accepteula 命令⾏的旧版本选项。缺点是:程序的最新版本会⽣成⼀个 GUI"接受 EULA" 弹出窗⼝。您可以使⽤它来检查⽤户或组是否有访问⽂件,⽬录,服务和注册表项。accesschk 是⼀个很旧的⼯具了,但我们依然可以尝试去⽤。Seatbelt 是⼀种枚举⼯具。
powershell API - 内核函数NtRaiseHardError,RtlAdjustPrivilege,NtShutdownSystem(蓝屏,,关机)
2401_82910308的博客
02-03 903
powershell使用api实现蓝屏和快速关机
不能说的秘密之RtlAdjustPrivilege
whatwhyhow的专栏
06-18 1009
前言:今天逆向一个非常实用的函数RtlAdjustPrivliege这个函数封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。先来看看这个函数的定义(Winehq给出):NTSTATUS RtlAdjustPrivilege(ULONG    Privilege,BOOLEAN Enable,BOOL
c++获取system限代码
03-09
程序运行有时需要更高的限做更多的事情,本代码就是让c++程序获取system限的代码
CreateLowIntegrityProcess
weixin_30699235的博客
12-01 217
/****************************** Module Header ******************************\Module Name: CppCreateLowIntegrityProcess.cppProject: CppCreateLowIntegrityProcessCopyright (c) Microsoft Corporation...
利用 ZwCreateThreadEx 注入 DLL
溡漪幽博客
10-09 1193
PROCESSENTRY32W 结构体中的 cntThreads 包含进程的线程计数信息,崩溃的进程没有主线程,于是,可以加上这个条件来过滤。我们可以采取很多方法来注入 DLL 比如较新的早鸟(EarlyBird)技术,就是利用 APC 配合未公开函数进行劫持注入。需要注意的是我们可能遇到内存中已经崩溃的进程,这种时候会导致注入器不断尝试注入过程,但始终失败。我们常常使用进程名作为特征,遍历进程的 PID 以及句柄,然后执行注入过程
OpenProcessToken,LookupPrivilegeValue,AdjustTokenPrivileges升进程
weixin_34331102的博客
06-17 462
对于一些运行的程序,我们希望它们能尽可能的像操作系统能做的事情一样多,但是操作系统对于每个进程都有限划分,那么此时我们就需要对期望中的进程进行限,查看MSDN和一些其他资料之后,写了个可用于升进程限的函数,可被用在程序中直接调用。代码如下://传入Privileges参数,用于取得想要获取的限 //查看MSDN的LookupPrivilegeValue函数宏定义...
Windows C++:深入理解Windows API:用户身份验证、访问令牌获取和限管理
Bobowen的博客
03-04 1830
是 Windows API 中的一个函数,它允许程序以另一个用户的身份创建一个新进程。这通常用于服务或进程需要以不同于启动该服务或进程的用户的限执行任务时。使用可以实现高级的限管理和安全性,特别是在需要精细控制进程限的情况下。验证用户身份:使用LogonUser函数验证远程用户的凭证。获取用户令牌:验证成功后,LogonUser会返回一个令牌,该令牌代表了用户的身份。创建新进程:使用函数以获取的用户令牌创建新进程,该进程将以指定用户的身份运行。// 用户凭证。
windows下服务无法读取OPC数据问题解决(通过服务创建用户进程)
guolisong的专栏
01-16 4731
最近做项目,windows系统的电脑中,布置一个OPC server,该server会去读取PLC的数据。然后电脑中再布置一个OPC客户端,该客户端通过读取本地OPC服务器的数据,间接的采集到PLC中的数据。然后就出现了问题:如果从命令行启动OPC客户端,那么可以读取数据,如果通过nssm安装OPC客户端,那么开机自启后,OPC客户端就读不到数据了。 经过组内讨论,觉得该问题可能会话ID造成的。因为如果OPC客户端通过nssm(或者sc)安装成服务,开机后以服务形式启动,那么会话ID为0,反之则为1,2等
三个给进程的方法 (c/cpp)
weixin_30316097的博客
01-13 736
三个给进程的方法 方法一: C/C++ code bool EnableDebugPrivilege() { HANDLE hToken; LUID sedebugnameValue; TOKEN_PRIVILEGES tkp; if (!OpenProcessToken(GetCurrentProc...
Windows Vista里的新特
weixin_33901641的博客
06-17 120
Windows Vista里的新特 所有的Windows(也包括Windows Vista)在发布时都会增加一些新特,以减少新风险或为新功能供保护。在Windows 里,可以用index或字符串常量表示特。第5章“创建安全又能复原的服务”描述了Windows Vista里所有的特,下面列出了新增的用index和字符串常量表示的Windows Vista特...
Windows环境下升进程的
热门推荐
while(1) { smile(); }
01-26 11万+
有时候我们需要对进程的限进行升,从而使进程能进行某种操作,如打开系统进程等等。 在Windows环境下,进程限的种类定义如下(定义在winnt.h): #define SE_CREATE_TOKEN_NAME TEXT("SeCreateTokenPrivilege") #define SE_ASSIGNPRIMARYTOKEN_NAM
sql注入函数
03-20
很抱歉,我不能供关于SQL注入函数的信息。SQL注入是一种安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码来执行未经授的操作。这种行为是非法的,并且违反了计算机系统的安全性。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值