关于Windows系统白名单程序(自动提权autoElevate)

最新推荐文章于 2024-07-12 14:58:55 发布
最新推荐文章于 2024-07-12 14:58:55 发布
阅读量4.3k 收藏 2
点赞数
分类专栏: Windows系统 文章标签: UAC sysprep.exe autoElevate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ebxds/article/details/45000941
版权
本文介绍了如何寻找Windows系统中能够自动提权(autoElevate)的程序,这些程序在UAC下无需用户许可即可获得权限。通过查阅资料和使用工具如Strings.exe,发现一些系统应用如sysprep.exe具备这种特性。关键在于程序必须经过Windows Publisher数字签名,位于特定安全目录,并在manifest文件中声明true。文章列举了多个具有autoElevate属性的系统可执行文件,并提到存在migwiz.exe的情况,但它没有autoElevate标志,引发疑问。
摘要由CSDN通过智能技术生成

参考资料:

https://technet.microsoft.com/zh-cn/magazine/2009.07.uac.aspx

http://withinwindows.com/blog/2009/02/05/list-of-windows-7-beta-build-7000-auto-elevated-binaries

工具:

Strings.exe

Sigcheck.exe

Procexp.exe

Procmon.exe

知识点:

Manifest文件

UAC

 

         一直想怎么才能找到类似sysprep.exe这样可以有UAC权限但是运行的时候不会触发UAC弹框(即我们常说的Windows白名单程序),在网络上搜寻良久也未成发现有什么可用的信息。最后只有重头看看UAC相关信息,终于在MSDN上发现相关信息即参考资料1。

         从参考资料1中我们可以获得很多信息,由于vista在启用uac时貌似平等对待不管是Windows系统的还是第三方应用获得uac权限都要弹框获得用户许可,所以在win7上微软启用了白名单机制,对于某些系统应用可以直接获得uac权限。

条件就是:

1.      该可执行文件必须经过 Windows Publisher 的数字签名,Windows Publisher 是用于对 Windows 附带的所有代码进行签名的证书(仅由 Microsoft 进行签名是不够的,因此 Windows 未附带的 Microsoft 软件不包括在内);

2.      该可执行文件必须位于其中一个为数不多的“安全”目录中。安全目录是指标准用户无法修改的目录,并且它们包括 %SystemRoot%\System32(例如,\Windows\System32)及其大多数子目录、%SystemRoot%\Ehome,以及 %ProgramFiles% 下的少许目录(其中包括 Windows Defender 和 Windows 日记本)。

而要能够autoElevate还必须满足的一点就是要在程序的manifest文件中申明成类似这个样子的<autoElevate>true</autoElevate>,而且参考资料1还提供了两个工具来获得这个manifest文件搜寻满足条件的exe。

下面说的我获得的方法:

strings.exe  -s *.exe | findstr /i "autoElevate">"D:\Program Files (x86)\SysinternalsS</

最低0.47元/天 解锁文章
ebxds
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
操作系统权限提升(十四)之绕过UAC提权-基于白名单AutoElevate绕过UAC提权
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-26 1377
利用白名单程序的本质实际上是劫持注册表,这种方法主要是通过寻找autoElevated属性为true的程序,修改其注册表command的值,改成我们想要执行的paylaod,在该值中指明的字段会在这类程序运行时自动执行,类似于默认程序打开,当你以后运行该程序时,这个command命令都会自动执行。我们在运行eventvwr.exe程序会在注册表下去找这些值,如果这些值是一个calc的程序,那么系统在运行eventwr.exe时就会去执行一个calc.exe。我们打开注册表,去找到刚刚那个注册表的位置。
Windows 10白名单设置方法(编程实现)
PixelEnigma的博客
10-01 218
路径下的注册表项,并在该项下创建一个与程序路径对应的子项。然后,我们将子项的"Compatibility Flags"值设置为0x400,表示将程序添加到白名单中。在Windows 10中,我们可以使用编程的方式来实现白名单设置,以限制特定程序的运行。下面是一个详细的步骤,包括相关的源代码,来帮助你实现这一功能。完成上述步骤后,你的程序将被添加到Windows 10的白名单中,从而允许其正常运行。应该是你想要添加到白名单程序的完整路径。如果你有任何其他问题,请随时提问。在上述代码中,我们使用。
借助Intune 实现Windows 10 应用白名单
qq_45502533的博客
08-25 562
AppLocker 它是一种技术或白名单技术,允许限制用户可以执行的应用程序。这不是最好的解决方案,但它是管理应用程序中访问的良好解决方案。不幸的是,Applocker并非所有Windows版本都支持它,并且您无法为本地网络之外的设备执行任何操作。Intune填补了这一空白,并通过Applocker CSP提供了一个解决方案,该解决方案几乎受所有Windows版本支持,并控制本地网络外部设备的应用程序中的访问。
windows系统通过本地策略对远程桌面(3389端口)做白名单限制
最新发布
2301_77132421的博客
07-12 692
当服务器要进行远程运维时,windows系统通常是使用3389远程桌面进行连接,此时就存在安全风险,要防止处运维人员以外的其他人连接获取服务器数据或篡改服务器。此时可以通过本地安全策略对连接人员进行限制,具体操作方法如下所示:在命令行输入:secpol.msc 打开本地安全策略。
python实用程序-python实用程序-HTTP服务调用系统命令(带白名单
weixin_39720003的博客
11-11 131
本文转自:http://xiaoxia.org/2011/08/16/a-small-python-program-serverinformation/需求:监听一个端口,提供HTTP接口,通过访问Web地址,调用程序获取各种信息。例如,想在远程服务器上执行free命令查看远程服务器的内存使用情况,free -m 的base64编码为 ZnJlZSAtbQ== (可以在bash下使用命令生成bas...
windows通过ip安全策略,添加白名单-windows 2012 r2
dsaddstrtr的博客
06-27 3336
除了192.168.140.0/24网段可以访问1521端口,其他都禁止。2、右击“IP安全策略,在本地机器 ”---“管理IP筛选列表……1、通过---控制面板---管理工具---本地安全策略。思路:先添加全部禁止策略,再单独开放需要访问的网段。2、开放需要访问的ip段。1、添加全部禁止策略。
联想ThinkPad T410 Bios白名单V1.44
02-25
联想ThinkPad T410老机器升级Win10系统以后原来的老网卡因为没有驱动无法使用(因为Intel不再提供驱动支持),更换其他型号无线网卡后,开机报警1802,这是因为官方Bios对硬件型号做了限制,所以如果想正常使用新的...
thinkpad x220 bios 白名单
05-17
-白名单删除 -在“无加密”机器上解锁AES-NI -解锁的隐藏高级菜单 -解锁内存速度(支持DDR3 1600和1866) -已禁用MSR 0xE2处的程序包c状态锁(适用于Hackintosh) -使用自定义密钥重新签名以消除启动时的5次...
Android添加系统白名单和电池优化.zip
03-04
Android 项目是使用 Android 操作系统和相关开发工具开发的一款移动应用程序。Android 平台提供了丰富的功能和接口,开发人员可以使用 Java 或 Kotlin 等编程语言编写 Android 应用程序。Android 项目也可以是针对...
关于Angularjs中跨域设置白名单问题
01-19
在config中注入$sceDelegateProvider服务使用resourceUrlWhitelist([])方法添加白名单  跨域时将method的属性设置为”jsonp”就可以访问了 app.config([$sceDelegateProvider,function($sceDelegateProvider){ $...
泛微 ecology9.0 添加白名单方法
02-15
这时候,我们需要将这些 IP 地址添加到白名单中,以确保它们可以正常访问我们的应用程序。 添加白名单的方法可以分为三步: 1. 查看日志文件 首先,我们需要查看日志文件来找到被拦截的记录。在泛微 Ecology9.0 ...
win7/win8/win10 vc过UAC
06-12
老外对于32/64位win7/win8/win10系统下过UAC总结的几种思路,vs2012编译,供大家参考学习
UACME, 禁用 Windows 用户帐户控制.zip
10-10
UACME, 禁用 Windows 用户帐户控制 UACMe防止 Windows 用户帐户控制滥用 Windows AutoElevate后门。系统要求x86-32/x64 Windows 7/8/8. 1/10 ( 客户端,但某些方法也适用于服务器版本) 。管理帐户在默认
Genshin Impact的防作弊旁路,可让您将所有dll注入到受保护的游戏中。-C/C++开发
05-27
Genshin Impact的防作弊旁路,可让您将任何dll注入到受保护的游戏中。 Genshin-Bypass Genshin Impact的防作弊旁路,可让您将任何dll注入到受保护的游戏中。 概述Genshin安装了名为“ mhyprot2”的KernelMode驱动程序,以在Windows Kernel特权下保护其进程。 因此,除了滥用漏洞利用程序外,我们通常无法在用户模式下执行任何操作。 在这个项目中,我选择libelevate,它使用libcapcom为任何进程提供句柄高程。 libcapcom还提供了在内核上执行代码的功能,这使我们
驱动模拟按键鼠标
02-24
驱动级模拟按键和鼠标,一般的游戏都屏蔽了api模拟。用这个可以!
方便的拔出usb USB DISK EJECT.EXE
02-01
比 你去 任务栏 中寻找 安全删除硬件方便的多
应用教程:Ping32软件白名单使用教程
overbegin的博客
12-18 310
选择桌面管理分组,点击软件管控按钮,新建策略 点击左侧生效时间可以选择生效时间,可以自定义时间段,最多可设置三个时间段 点击左侧软件名单,设置那些软件禁止在员工电脑运行,软件中有软件类别,可选择禁用哪些常用软件,比如游戏、视频、音乐等。 可以自定义添加软件,若想要添加的软件不在类别中,点击“+”,自定义添加 点击左侧软件白名单,设置员工电脑只允许运行的软件 如果想要允许运行的软件不在列表中...
window绕开UAC——利用UAC白名单程序提权
甜筒八部 的专栏
11-18 7717
Se在实际开发过程中,可以通过Process Explorer检查服务或程序处于哪个Session,会不会遇到Session 0 隔离问题。我们在Services 中找到之前加载的AlertService 服务,右键属性查看其Session 状态。
DLL劫持、COM劫持、Bypass UAC利用与挖掘
weixin_44216796的博客
12-30 1088
倾旋大佬:https://payloads.online/ DLL劫持 何为劫持 “在正常事物发生之前进行一个旁路操作” DLL是什么 DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。 DLL的加载过程 程序所在目录 程序加载目录(SetCurrentDirecctory) 系统目录即SYSTEM32目录 16位系.
windows 系统怎么添加Ip 白名单
04-04
Windows 系统中,添加 IP 白名单需要进行以下步骤: 1. 打开 Windows 防火墙设置。可以在控制面板中找到“Windows 防火墙”选项,或者在搜索栏中输入“Windows 防火墙”进行搜索。 2. 在左侧菜单栏中选择“高级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值