System权限下进程遇到的问题以及如何降权启动进程

最新推荐文章于 2022-06-04 12:39:06 发布
最新推荐文章于 2022-06-04 12:39:06 发布
阅读量9.3k 收藏 23
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Windows 文章标签: system 权限 启动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yockie/article/details/46446047

一. 背景

最近项目上踩到一个坑,即偶现升级过程中通过计划任务调起新安装包,程序安装到了错误的地方,并且桌面快捷方式等入口均没有生成,总而言之就是一个“自杀”行为。

二. 原因

通过测试发现原因:在有些情况下,通过计划任务(通过服务也是如此)调起的进程是system权限的。而在system权限下进程可能会遇到很多问题:

  1. 通过注册表或expand 环境变量等方法得到的系统目录并不是我们想要的,例如通过SHGetSpecialFolderPath获取CSIDL_LOCAL_APPDATA的路径为C:\windows\system32\config\systemprofile\appdata\local;通过GetEnvironmentVariable获取TMP的路径为C:\Windows\TEMP等;这一类的目录包括且不限于:desktop, paograms, appdata, etc..
  2. 具有system权限的进程创建的子进程也是具有system权限的,这样子进程也会遇到上面第1点的问题
  3. GetEnvironmentVariable函数获取到的环境变量都是SYSTEM用户的
  4. 对HKEY_CURRENT_USER的部分注册表的写操作将会被重定向到HKEY_USERS.DEFAULT

三. 解决过程:

1. 解决目录问题

step1.如何判断是在system下

正常的方法当然是通过通过权限相关的API来判断,当然也可以有一些小技巧来判断。例如上面说到的通过SHGetSpecialFolderPath获取CSIDL_LOCAL_APPDATA的路径,非system权限下为C:\Users\username\AppData\Local,而在system下为C:\windows\system32\config\systemprofile\appdata\local。因此,代码如下:

bool IsSystemPrivilegeImp()
{
    static bool isSystemPrivilege = false;
    if (isSystemPrivilege)
    {
        return isSystemPrivilege;
    }

    char szPath[MAX_PATH] = {
  
  0};
    if (::SHGetSpecialFolderPathA(NULL, szPath, CSIDL_APPDATA, TRUE))
    {
        std::string flag("config\\systemprofile");
        std::string path(szPath);
        if (path.find(flag) != std::string::npos)
        {
            isSystemPrivilege = true;
        }
    }

    return isSystemPrivilege;
}

step2. 模拟当前登陆用户

想要获取的正确的目录,需要模拟当前登陆用户,获取登录用户的token,再调用SHGetSpecialFolderPath传入此token来获取。另外通过此token,还可以通过CreateProcessAsUser来创建登录用户权限的进程,这点下文再详述。

// 若执行成功,传出获取的token
bool ImpersonateLoggedOnUserWrapper(HANDLE& hToken)
{
    DWORD dwConsoleSessionId = WTSGetActiveConsoleSessionId();
    if (WTSQueryUserToken(dwConsoleSessionId, &hToken))
    {
        if (ImpersonateLoggedOnUser(hToken))
        {
最低0.47元/天 解锁文章

200万优质内容无限畅学
降权启动进程
ckkyjtqlt的专栏
07-05 2181
需求:管理员启动了安装包并安装完后需要启动程序。此时希望是以当前登录用户来启动,而不是以管理员用户来启动(安装包是管理员权限,直接启动因为权限继承原因,程序也会是管理员权限)思路:利用当前explorer.exe进程的token去创建目的进程DWORD  GetExplorerToken(int nProcessId,OUT PHANDLE  phExplorerToken) {   DWO...
Windows 进程权限浅谈 -- 提权 / 降权
最新发布
0x0007 的博客
03-24 4906
在 Windows 上,用户对权限并不敏感,可能最为直观的是 UAC ,但相信很多人已经关掉了它的提示。但其实安全性早已深入了 Windows 的方方面面。Windows Vista 引入了一个称为强制完整性控制()的新安全结构,类似于 Linux/Unix 中可用的完整性功能。在 Windows Vista 以及后续版本如Windows 11/10和Windows 8/7中,所有安全主体(用户、计算机、服务等)和对象(文件、注册表键、文件夹和资源)都被赋予MIC标签。
SYSTEM权限下以当前用户权限运行程序
01-06
SYSTEM权限下以登陆用户运行程序。 ap.exe yourprogram.exe 请勿用于非法用途,即使要用一定要自己编译去掉banner!
system权限启动程序
qq_37131073的博客
06-04 953
system权限
system权限执行程序
blh的专栏
07-25 1496
 今天遇到一个问题,在windows vista中需要手工删除注册表中的一注册项,但该项要求system权限(比administrator权限还高),经过不断努力找到一个程序,在命令行自行命令将regedit.exe按照system权限运行,成功的删除了那个注册表项 命令为 psexec.exe -i -d -s regedit.exe  psexec.exe位于工具集 pstoo
以当前登录用户权限打开程序
05-10
System权限运行的程序,比如系统服务打开外部程序时也是以System权限打开,但是有的程序不支持SYSTEM权限。 以当前登录用户权限打开程序,可以解决这个问题
【两份源码】SYSTEM权限启动进程
08-06
6. **注册表键值**:某些情况下,可以修改注册表键值以确保进程SYSTEM权限启动。例如,修改`HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell`键,但这种方法非常敏感,应谨慎...
掌握SYSTEM权限:深入解析进程启动技巧
在讨论如何使用SYSTEM权限启动进程之前,我们首先需要了解几个关键概念:权限、用户账户、进程以及启动进程的相关技术。 权限:在计算机系统中,权限是指对系统资源访问的允许或拒绝。通常分为读取、写入、执行等...
system权限进程以user权限调用进程
12-11
"system权限进程以user权限调用进程"这个主题涉及到了Windows权限模型、进程创建以及WinAPI函数的使用。让我们深入探讨一下这些概念。 首先,Windows权限模型基于用户账户控制(User Account Control, UAC),它将...
windows服务启动当前用户进程
02-15
可用于在windows 服务程序中正常启动隶属于当前用户的进程,主要通过获取explorer令牌的方式,对于界面程序等运行正常。
c++获取system权限代码
03-09
程序运行有时需要更高的权限做更多的事情,本代码就是让c++程序获取system权限的代码
注入系统进程降权,获取HASH值
05-24
注入系统进程,进行降权,获取HASH值。
windows以system权限启动进程
Bpazy的博客
05-26 5090
以管理员身份启动CMD,使用以下命令即可以system权限启动对应进程: PsExec -i -s -d taskmgr PsExec可在SysinternalsSuite工具包中找到,链接:https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite。 ...
system进程启动普通用户进程调研
dianyu6835的博客
01-05 368
system进程启动普通用户进程 关键函数是CreateProcessAsUser 主要思路是先取得目的用户的token,然后用上面的函数启动 1、从explorer中取token BOOL GetTokenByName(HANDLE &hToken,LPSTR lpName) { if(!lpName) { return FALSE; }...
[提权] 使用 ShellCode 注入其他进程
LYSM
11-27 1176
背景 如果将shellcode注入到具有特定权限进程中,使用 ShellCode 创建的进程就可以获得与该进程相同的权限。 本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LyShark/p/12960816.html 提权降权工具下载地址: https://www.blib.cn/soft/pexec.zip 枚举系统进程,与进程权限令牌等。 #include <stdio.h> #include <Windows.h> #inc
Windows降权
weixin_30466039的博客
04-07 725
使用invoke-tokenmanipulation进行降权 枚举所有令牌 PS C:\Users\SMC> Get-ExecutionPolicy Restricted PS C:\Users\SMC> Set-ExecutionPolicy Unrestricted PS C:\Users\SMC\Desktop> Import-Module .\Invoke-TokenMa...
C++使用system创建进程
实践求真知
03-31 2182
一点睛 system的原型如下, 其作用是运行以字符串参数的形式传递给它的命令并等待该命令的完成。其作用等价于在shell中执行命令sh -c string。 #include <stdlib.h> int system(const char *string); 二代码 #include <stdlib.h> #include <stdio.h>...
SYSTEM权限下创建用户进程方法
edger2heaven的专栏
04-06 728
1、runas,优点系统自带,缺点要交互。 2、lsrunas ,可以一次完成。 3、nircmd,功能丰富强大,缺点有时会被杀软查杀。 4、计划任务schtasks,优点系统自带。 5、psexec,新版本会蹦框提示,需要先运行命令加入注册表或运行时加-accepteula选项。 ......
C++ 启动一个进程
sz76211822的专栏
09-26 3407
BOOL CTAllWatchDlg::WakeupProc(const WCHAR* strFilepath) { STARTUPINFO StartInfo; PROCESS_INFORMATION procStruct; memset(&StartInfo, 0, sizeof(STARTUPINFO)); StartInfo.cb = sizeof(STARTUPINFO);
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值