system进程启动普通用户进程调研

最新推荐文章于 2022-03-04 17:21:37 发布
最新推荐文章于 2022-03-04 17:21:37 发布
阅读量312 收藏 1
点赞数 1
原文链接:http://www.cnblogs.com/fatterbetter/p/4203094.html
版权

system进程启动普通用户进程

关键函数是CreateProcessAsUser

主要思路是先取得目的用户的token,然后用上面的函数启动

1、从explorer中取token

BOOL GetTokenByName(HANDLE &hToken,LPSTR lpName)
{
    if(!lpName)
    {
        return FALSE;
    }
    HANDLE         hProcessSnap = NULL; 
    BOOL           bRet      = FALSE; 
    PROCESSENTRY32 pe32      = {0}; 

    hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); 
    if (hProcessSnap == INVALID_HANDLE_VALUE) 
        return (FALSE); 

    pe32.dwSize = sizeof(PROCESSENTRY32); 

    if (Process32First(hProcessSnap, &pe32)) 
    {  
        do 
        {
            if(!strcmp(_strupr(pe32.szExeFile),_strupr(lpName)))
            {
                HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION,
                    FALSE,pe32.th32ProcessID);
                bRet = OpenProcessToken(hProcess,TOKEN_ALL_ACCESS,&hToken);
                CloseHandle (hProcessSnap); 
                return (bRet);
            }
        } 
        while (Process32Next(hProcessSnap, &pe32)); 
        bRet = TRUE; 
    } 
    else 
        bRet = FALSE;

    CloseHandle (hProcessSnap); 
    return (bRet);
}

BOOL RunProcess(LPCSTR lpImage)
{
    if(!lpImage)
    {
        return FALSE;
    }
    HANDLE hToken;
    if(!GetTokenByName(hToken,"EXPLORER.EXE"))
    {
        return FALSE;
    }
    STARTUPINFO si;
    PROCESS_INFORMATION pi;

    ZeroMemory(&si, sizeof(STARTUPINFO));
    si.cb= sizeof(STARTUPINFO);
    si.lpDesktop = TEXT("winsta0\\default");

    BOOL bResult = CreateProcessAsUser(hToken,lpImage,NULL,NULL,NULL,
        FALSE,NORMAL_PRIORITY_CLASS,NULL,NULL,&si,&pi);
    CloseHandle(hToken);
    if(bResult)
    {
        OutputDebugString("CreateProcessAsUser ok!\r\n");
    }
    else
    {
        OutputDebugString("CreateProcessAsUser false!\r\n");
    }
    return bResult;
}

这种方式的缺点是,如果当前有多个用户登陆,则进程中会有多个explorer进程,需额外控制从哪个explorer中取token

2、从当前活动的session中查询token,再启动

BOOL RunProcess1(LPCSTR lpImage, LPSTR lpCmd = "")
{
    if(!lpImage)
    {
        return FALSE;
    }

    DWORD dwSID =  WTSGetActiveConsoleSessionId(); 
    HANDLE hToken;
    WTSQueryUserToken(dwSID, &hToken);

    STARTUPINFO si;
    PROCESS_INFORMATION pi;

    ZeroMemory(&si, sizeof(STARTUPINFO));
    si.cb= sizeof(STARTUPINFO);
    si.lpDesktop = TEXT("winsta0\\default");
    //si.dwFlags = STARTF_USESHOWWINDOW;
    //si.wShowWindow = SW_HIDE;

    BOOL bResult = CreateProcessAsUser(hToken,lpImage,lpCmd,NULL,NULL,
        FALSE,NORMAL_PRIORITY_CLASS,NULL,NULL,&si,&pi);
    CloseHandle(hToken);
    if(bResult)
    {
        OutputDebugString("CreateProcessAsUser ok!\r\n");
    }
    else
    {
        OutputDebugString("CreateProcessAsUser false!\r\n");
    }
    return bResult;
}

这种方式相对于上一种就是可以创建一个当前活动用户的进程,但在使用过程中发现,如果以非system用户调用WTSQueryUserToken,可能会失败

3、CreateProcessAsUser的命令行参数问题

在实际使用中,想给新进程传递参数,一直没传对,后来才发现,CreateProcessCreateProcessAsUser中,cmdline参数的使用比较特别,要注意

比较保险的两种用法是

  • appname参数置空,cmdline参数为完整命令行,这种用法的限制在于,cmdline长度最大为MAX_PATH
  • appname参数为要启动的程序的完整路径,cmdline参数为完整命令行,这种用法的好处是,长度可以达到32K(MSDN中写的,未试验),限制在于,一定要使用完整命令行,包括要启动的程序的路径。因为该函数不会将appname和cmdline拼在一起

另外需注意的一点是,cmdline在函数调用期间,值会被修改,不能使用常量

转载于:https://www.cnblogs.com/fatterbetter/p/4203094.html

dianyu6835
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从众中取优:开源Agent市场深度调研,近20款主流开源Agent框架的技术亮点与适用场景深度剖析[Multi-Agent 框架详解]
丨汀、的博客
07-15 580
从众中取优:开源Agent市场深度调研,近20款主流开源Agent框架的技术亮点与适用场景深度剖析
system权限进程以user权限调用进程
12-11
Windows中具有system权限的进程通过CreatePorcessAsUser调用其他权限的进程
windows system模拟普通用户执行函数
火苗999℃的博客
03-04 512
bool ChangeToken(const std::string &path) { #define INFO_BUFFER_SIZE 32767 char infoBuf[INFO_BUFFER_SIZE]; DWORD bufCharCount = INFO_BUFFER_SIZE; if (!GetUserNameA(infoBuf, &bufCharCount)) { LOG_ERROR("G
system 用户创建进程创建当前用户(如Administrator)的进程
aa1991的专栏
04-17 1170
//获取当前进程的灵牌 HANDLE hTokenDup = NULL; HANDLE hThisProcess = GetCurrentProcess(); DWORD dwSessionId = 0; dwSessionId = ::WTSGetActiveConsoleSessionId(); if(dwSessionId == 0xFFFFFFFF) { DWORD
在SYSTEM权限下以当前用户权限运行程序
01-06
在SYSTEM权限下以登陆用户运行程序。 ap.exe yourprogram.exe 请勿用于非法用途,即使要用一定要自己编译去掉banner!
system用户进程或服务进程以特定用户启动其他程序的处理
03-04 1370
当主进程用户为system,或为服务进程时,拉起进程需要特殊处理: DWORD api_start_process(char * process_name, char * user_name, char * user_pswd) {     wchar_t w_process_name[1024];     wchar_t w_user_name[1024];     wchar_t w
进程创建、等待、终止;编写自己的shell;封装fork/wait等操作, 编写函数 process_create;调研popen/system, 理解这两个函数和fork的区别.
你又来看我了,一起学习吧
10-18 387
进程创建 进程创建比较简单。有两个函数可以调用:fork()和vfork()。 fork() pid_t id = fork(); fork()函数测试代码: #include<stdlib.h> #include<stdio.h&gt...
Android 进程常驻(1)----开篇
热门推荐
猫九爷阳果果
08-27 2万+
Android常驻进程进程保活,通过native实现进程守护,低耗电,在root360,rootCM,系统forceclose 下均可存活,测试系统从2.3到5.1,机型为三星、华为、小米、亲儿子。本文记录了笔者从开始调研,到一步一步的试验的基本全部思路。ps:只为服务用户,只为技术交流,流氓绕行。
Android 进程常驻(5)----开机广播的简单守护以及总结
猫九爷阳果果
03-17 1万+
Android常驻进程进程保活,通过native实现进程守护,低耗电,在root360,rootCM,系统forceclose 下均可存活,测试系统从2.3到5.1,机型为三星、华为、小米、亲儿子。本文记录了笔者从开始调研,到一步一步的试验的基本全部思路。ps:只为服务用户,只为技术交流,流氓绕行。
调研popen/system, 理解这两个函数和fork的区别.
qq_40995354的博客
04-05 236
system函数在执行过程中经过fork-&gt;exec-&gt;wait,但system在执行的过程会一直等待,知道shell运行完才退出,所以system为串行执行syetem在执行的过程中对SIGCHLD、SIGINT、SIGQUIT都做了处理SIGCHLD是子进程在退出时给父进程发的一个信号,system中屏蔽了SIGCHLD信号,原因是为了system调用能够及时的退出并且能够正确获得...
当前登录用户权限打开程序
05-10
System权限运行的程序,比如系统服务打开外部程序时也是以System权限打开,但是有的程序不支持SYSTEM权限。 以当前登录用户权限打开程序,可以解决这个问题
服务中创建当前登录用户名下的进程
xbgprogrammer的专栏
05-10 1576
若在服务中调用CreateProcess创建进程,则进程所属用户为System,而不是当前登录用户,这会导致一些问题,例如若程序含有UI界面,则无法显示出用户界面,所以若有此种问题,应创建当前登录用户下的进程,而Api CreateProcessAsUser提供了这种功能,以下为示例代码void LaunchProcess() { HANDLE hToken; //创建进程快照 PROCES
在system用户创建普通用户进程
sinat_38602176的博客
11-28 1019
Windows开发--------在System身份的程序下,使用其他用户的身份启动程序 本文主要通过CreateProcessAsUser()函数来在某用户的身份下启动进程。 根据进程来获取用户的token,需要一个本地的进程 方法一 步骤一:获取本地进程的token /******************** 参数解释:参数一:要获取的进程进程名,比如notepad++.exe 参数二:...
"SYSTEM"用户创建进程
06-05 898
sysrun.ccl sysrun.cpp Shlwapi.lib advapi32.lib#include #include 
c# 指定打开某个路径下的CMD_Redis 在window、linux下的安装(仅学习)
weixin_39530838的博客
11-18 138
Window 下安装下载地址:https://github.com/MSOpenTech/redis/releases。Redis 支持 32 位和 64 位。这个需要根据你系统平台的实际情况选择,这里我们下载 Redis-x64-xxx.zip压缩包到 C 盘,解压后,将文件夹重新命名为 redis。打开文件夹,内容如下:打开一个 cmd 窗口 使用 cd 命令切换目录到 C:redis 运行:...
c++中如何判断该进程是系统进程,还是用户进程
w403638886的专栏
04-16 1356
有那位高手给指点一下:c++中如何判断该进程是系统进程,还是用户进程
c++ 服务 以当前用户拉起进程_渗透技巧——通过CredSSP导出用户的明文口令
weixin_34234884的博客
12-12 363
0x00 前言在渗透测试中,为了获得Windows系统中的用户口令,通常会选择读取lsass进程的内存。这种方法不仅需要获得系统的管理员权限,而且在更多情况下需要绕过系统对lsass进程的保护。我在之前的文章《Windows下的密码hash——Net-NTLMv1介绍》曾介绍过使用InternalMonologue获得当前用户凭据的方法(通过SSPI调用对NTLM身份验证包(MSV1_0...
在SYSTEM权限下创建用户进程方法
edger2heaven的专栏
04-06 654
1、runas,优点系统自带,缺点要交互。 2、lsrunas ,可以一次完成。 3、nircmd,功能丰富强大,缺点有时会被杀软查杀。 4、计划任务schtasks,优点系统自带。 5、psexec,新版本会蹦框提示,需要先运行命令加入注册表或运行时加-accepteula选项。 ......
从管理员身份获得 SYSTEM 权限的四种方法
Fido
06-07 2282
本文总结了 4 种方法获得 SYSTEM 权限来运行 regedit.exe 文件,源代码很容易修改成命令行方式运行指定的程序。1. 以服务方式运行2. 添加 ACL 的方法3. HOOK ZwCreateProcessEx 函数4. 远程线程的方法这几种方法都不是我想出来的,我只不过是总结了一下,用 Win32ASM 重写了代码而以。关于这个大家可以看文章末尾的参考资料。下面简单的分析每一种方法
Linux高效进程启动:system vs exec系列函数详解
本文将介绍三种常用的启动进程的方法:system函数、exec系列函数(包括execl(), execlp(), execle(), execv(), 和 execvp()),以及fork()函数。每种方法有其特点和适用场景。 1. **system函数**: - **功能**: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值