Windows高权限程序以低权限启动子进程

最新推荐文章于 2023-06-27 16:58:16 发布
最新推荐文章于 2023-06-27 16:58:16 发布
阅读量823 收藏 1
点赞数
分类专栏: windows 提权 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33386970/article/details/114555929
版权

Windows高权限程序以低权限启动子进程

windows中父进程为高权限如何以低权限启动子进程,在本文中给出一种方法,供读者参考。

实现思路: 再任务管理其中找到一个低权限的程序,一般explorer.exe是以当前用户普通权限启动。我们这里使用explorer.exe为例。 首先需要根据程序名获取explorer.exe的token,并根据这个token利用DuplicateTokenEx函数复制一个新的token用于创建新的子进程。利用这个token创建新的环境变量。然后利用新的token和环境变量启动新进程就能得到和explorer.exe一样的权限了。

实现

  • 获取explorer.exe的token

这个可以使用CreateToolhelp32Snapshot获取所有进程的一个快照,然后使用Process32First函数枚举所有进程并找到explorer.exe对应的HANDLE,最后利用OpenProcessToken函数获取explorer.exe的token。

  • CreateToolhelp32Snapshot函数原型 
HANDLE CreateToolhelp32Snapshot(
  DWORD dwFlags,
  DWORD th32ProcessID
);

dwFlags 标志你要使用的是哪一个快照,这里我们使用TH32CS_SNAPPROCESS标志

th32ProcessID 使用0,指的是当前进程。

  • 使用Process32FirstW函数枚举进程 
BOOL Process32FirstW(
  HANDLE            hSnapshot,
  LPPROCESSENTRY32W lppe
);

hSnapshot 为CreateToolhelp32Snapshot的返回值

lppe 为PROCESSENTRY32W结构体指针

  • Process32NextW 
BOOL Process32NextW(
  HANDLE            hSnapshot,
  LPPROCESSENTRY32W lppe
);

Process32NextW函数检索下一个进程

  • OpenProcess 
HANDLE OpenProcess(
  DWORD dwDesiredAccess,
  BOOL  bInheritHandle,
  DWORD dwProcessId
);

dwProcessId 进程ID

  • OpenProcessToken 
BOOL OpenProcessToken(
  HANDLE  ProcessHandle,
  DWORD   DesiredAccess,
  PHANDLE TokenHandle
);

OpenProcessToken 函数可以打开与进程关联的访问令牌即我们上面所说的token

ProcessHandle 为OpenProcess的返回值,其他参数可参考msdn文档

  • DuplicateTokenEx函数复制新的token 
BOOL DuplicateTokenEx(
  HANDLE                       hExistingToken,
  DWORD                        dwDesiredAccess,
  LPSECURITY_ATTRIBUTES        lpTokenAttributes,
  SECURITY_IMPERSONATION_LEVEL ImpersonationLevel,
  TOKEN_TYPE                   TokenType,
  PHANDLE                      phNewToken
);

hExistingToken 已经存在的token

phNewToken 新的token

  • CreateEnvironmentBlock 创建新的环境变量 
BOOL CreateEnvironmentBlock(
  LPVOID *lpEnvironment,
  HANDLE hToken,
  BOOL   bInherit
);

hToken 为DuplicateTokenEx复制的新的token即为phNewToken

  • CreateProcessAsUserW 函数使用新的token和新的环境变量创建新的进程 
BOOL CreateProcessAsUserW(
  HANDLE                hToken,
  LPCWSTR               lpApplicationName,
  LPWSTR                lpCommandLine,
  LPSECURITY_ATTRIBUTES lpProcessAttributes,
  LPSECURITY_ATTRIBUTES lpThreadAttributes,
  BOOL                  bInheritHandles,
  DWORD                 dwCreationFlags,
  LPVOID                lpEnvironment,
  LPCWSTR               lpCurrentDirectory,
  LPSTARTUPINFOW        lpStartupInfo,
  LPPROCESS_INFORMATION lpProcessInformation
);
  • DestroyEnvironmentBlock函数销毁环境变量 
BOOL DestroyEnvironmentBlock(
  LPVOID lpEnvironment
);

lpEnvironment 即为CreateEnvironmentBlock函数获取的环境变量

代码

BOOL GetTokenByName1(HANDLE &hToken, const LPCWSTR proName)
{
 if (proName == NULL)
 {
  return FALSE;
 }
 HANDLE hProcessSnap = NULL;
 BOOL bRet = FALSE;
 PROCESSENTRY32W pe32 = { 0 };

 hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
 if (hProcessSnap == INVALID_HANDLE_VALUE)
 {
  return (FALSE);
 }

 pe32.dwSize = sizeof(PROCESSENTRY32W);
 if (Process32FirstW(hProcessSnap, &pe32))
 {
  do
  {
   if (0 == wcscmp(pe32.szExeFile, proName))
   {
    HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, pe32.th32ProcessID);
    bRet = OpenProcessToken(hProcess, TOKEN_ALL_ACCESS, &hToken);
    CloseHandle(hProcess);
    CloseHandle(hProcessSnap);
    return (bRet);
   }
  } while (Process32NextW(hProcessSnap, &pe32));

  bRet = FALSE;
 }
 else
 {
  bRet = FALSE;
 }
 CloseHandle(hProcessSnap);

 return (bRet);
}

BOOL CreateProcessUserMy(IN LPCWSTR pro_name, IN LPCWSTR application_name,
 IN LPWSTR command_line, IN LPSECURITY_ATTRIBUTES process_attributes,
 IN LPSECURITY_ATTRIBUTES thread_attributes, IN BOOL inherit_handles,
 IN DWORD creation_flags, IN LPVOID environment,
 IN LPCWSTR current_directory, IN LPSTARTUPINFOW startup_info,
 OUT LPPROCESS_INFORMATION process_information)
{
 HANDLE token = NULL;
 HANDLE token_dup;
 BOOL ret = FALSE;


 ret = GetTokenByName1(token, pro_name);
 if (token == NULL)
 {
  LOG_ERROR("get token == NULL");
  return FALSE;
 }

 ret = DuplicateTokenEx(token, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary,
  &token_dup);

 //创建新环境变量
 ret = CreateEnvironmentBlock(&environment, token_dup, FALSE);

 CloseHandle(token);
 if (!ret)
  {
  return false;
 }
 ret = CreateProcessAsUserW(token_dup, application_name, command_line, process_attributes,
  thread_attributes, inherit_handles, creation_flags, environment,
  current_directory, startup_info, process_information);

 LOG_INFO("CreateProcessAsUser ret = %d", ret);
 DestroyEnvironmentBlock(environment);
 CloseHandle(token_dup);
 return ret;
}

DWORD LaunchAppAsExplorer1(LPCWSTR lpImage, LPWSTR lpCommand)
{
 STARTUPINFOW startup_info;
 PROCESS_INFORMATION proc_info;
 BOOL ret = FALSE;
 DWORD dwPid = 0;

 ZeroMemory(&startup_info, sizeof(startup_info));
 startup_info.cb = sizeof(startup_info);
 ZeroMemory(&proc_info, sizeof(proc_info));

 startup_info.lpDesktop = L"Winsta0\\default";
 ret = CreateProcessUserMy(L"explorer.exe", lpImage, lpCommand, NULL, NULL, FALSE, NORMAL_PRIORITY_CLASS | CREATE_NEW_CONSOLE | CREATE_UNICODE_ENVIRONMENT,
  NULL, NULL, &startup_info, &proc_info);
 dwPid = proc_info.dwProcessId;

 if (!ret)
 {
  proc_info.hProcess = 0;
  dwPid = 0;
 }

 CloseHandle(proc_info.hProcess);
 CloseHandle(proc_info.hThread);

 return dwPid;
}

结束

欢迎关注公众号zzktkj_8888

- END -
旋律1155665
关注
专栏目录
Windows UAC权限详解以及因为权限不对等引发的若干问题排查
dvlinker的技术专栏
06-08 3904
Windows UAC权限详解以及因为权限不对等引发的若干问题分享。
Windows UAC权限详解以及因为权限不对等引发的若干问题分享
最新发布
dvlinker的技术专栏
11-15 1万+
Windows UAC权限详解以及因为权限不对等引发的若干问题分享。
降低权限启动某个进程
半个网虫的专栏
05-27 1861
程序启动子进程时,子进程会自动使用当前进程的权限,包括ShellExecute启动的进程,都有这个问题。 当自己制作安装包时,安装包进程,在win7上,当前进程是管理员权限启动程序如果也以管理员权限运行,可能有问题,需要降低权限。   此函数的代码可以做到这一点,将当前进程的权限降低之后,再启动其他的进程。   BOOL CreateLowIntegrityProcess(LPCTS
Windows下如何创建低权限进程
顺其自然~专栏
07-28 855
在使用Sysinternals出品的 Process Explorer 过程中,对 “Run as Limited User” 功能的实现方式颇感兴趣,一番搜寻之下发现Mark大神在《Running as Limited User – the Easy Way》中对该功能的实现做了相关的阐述: use the CreateRestrictedToken API to create a security context, called a token, that’s a stripped-down v..
以指定用户权限运行一个进程
-源码交流区
07-12 990
<br /> 公司的电脑全部用域进行管理,不相同的域用户有不同的权限,有时在一些用户权限下要以另一个用户的运行一个进程,这时就有了现在这<br /> <br />个应用场景,解决方法如下:<br />//以指定用户权限运行一个进程 BOOL CRunAsDlg::RunAsEx(LPWSTR lpCommandLine) { BOOL bRet = FALSE; HINSTANCE hInst;//advapi32.dll句柄 hInst = ::LoadLibrary("advapi32.
向低权限(低完整性?)进程注入的问题
myjisgreat的专栏
06-13 1358
 向低权限(低完整性?)进程注入的问题 搬运自我的百度空间 一个让人崩溃的bug:Chrome程序在钩子下运行失败。正常情况下,在HOOK了CreateProcessInternalW后,我的钩子会在新进程插入自己的DLL进行连环钩子。调试了几天不见端倪。在windbg中看到卡住的原因是Chrome一个子进程在创建时Terminate了自己。使
以低权限启动新的程序
11-07
标题中的“以低权限启动新的程序”指的是在具有管理员权限的环境中,启动一个新进程时,可以限制该进程的权限,使其仅具备普通用户的权限。这样,即使程序中存在漏洞或被恶意利用,攻击者也无法获取到管理员权限,...
C#提升进程/程序权限
10-04
然而,有些操作,如修改系统设置、访问特定文件或注册表项,需要更权限才能执行,这就涉及到了进程或程序权限的提升。C#作为.NET框架下的主要编程语言,提供了多种方式来实现这一目标。下面将详细介绍如何在C#中...
C#通过创建Windows服务启动程序的方法详解
09-02
需要注意的是,创建Windows服务需要具有管理员权限,因为服务是操作系统级别的应用程序,能够进行较权限的操作。开发过程中还应考虑服务的异常处理和日志记录,以确保服务的稳定性和安全性。此外,服务程序通常应...
SYSTEM权限引发的系列问题
jackey3Lin的专栏
11-18 5093
Windows下的服务程序(S程序)都是以SYSTEM权限启动的,通过服务程序启动程序(N程序)自然也会是SYSTEM权限的,而如果开发N的时候没有考虑到SYSTEM权限这种情况,那么有可能N就无法正常的运行于SYSTEM权限下。 场景:客户需要在服务下运行我的程序,在这样的情况下我的程序崩溃了:(为了方便调试,我给程序添加了崩溃转储功能,把DUMP文件拿回来之后用Windbg调试了一下,发现
未分类--Windows API--CreateEnvironmentBlock
Coperator
01-05 1671
原文来自MSDN Library for Visual Studio 2008 SP1,翻译部分仅为个人观点,想要看更多信息请看MSDN,如有版权问题请联系QQ 643166601,邮件643166601@qq.com   CreateEnvironmentBlock Function -----------------------------------------------------
Windows下创建进程的理解
wwpp的博客
06-27 1120
创建windows进程,需要考虑两个点,即session和权限问题。了解这两点,网络上服务创建界面进程,管理员权限进程创建普通权限进程的代码则很好理解。
在LocalSystem账户下启动应用程序且无UAC弹框(Vista及其后)
x-2010的笔记
11-29 1054
本章在LocalSystem账户下通过一个服务辅助程序来介绍如何从session 0到session 1启动一个应用程序。 在Vista系统中,遇到的问题是在administrator账户下想要启动一个exe程序来执行一些任务,但是由于弹出的UAC对话框让用户不得不做出去做一些操作而导致失败。围绕这个问题,想到了通过服务来启动应用程序,这过程会以LocalSystem账号权限切换到当前用户的se
Windows API巡礼》---GetEnvironmentStrings和GetEnvironmentVariable
红领巾侠博客
07-15 785
文章出处:http://blog.csdn.net/ace1985/article/details/5706087   环境变量是进程中一组变量信息,环境变量分为系统环境变量、用户环境变量和进程环境变量。系统有全局的环境变量,在进程创建时,进程继承了系统的全局环境变量、当前登录用户的用户环境变量和父进程的环境变量。进程也可以有自己的环境变量。 设置和获取所在进程的环境变量使用API函数Get
服务程序中以管理员权限启动其它程序
benbencoco的专栏
02-26 3379
项目中的实际问题:需要用一个服务程序启动并监控另一个程序,而该程序中使用了JavaScript,并且访问百度的地图API,启动程序后,发现地图总是无法加载,   这个问题纠结了我和外部程序的开发者三天时间了,一直没有头绪,今天写了一个最简单的百度地图的加载代码,结果弹出如下提示框                但是当我自己按照普通的方式直接运行这个外部程序的时候,却能够正常加载,因此推断问
c# windows服务启动GUI进程
slwsss的专栏
03-16 1124
Start("\"e:/test.exe\"", true); public static void Start(string commandLine, bool showWindow) { IntPtr hToken; IntPtr hTokenDup; const int TOKEN_ALL_ACCESS = 268435456; const int Tok...
以系统最权限运行软件
weixin_30535913的博客
07-20 462
///////////////////////说明:VC6编译通过//文件名:UAC.h//调用:UAC(进程名,可执行文件路径);////////////////////#pragma once #include <windows.h> #include <Aclapi.h> #include <TLHelp32.h> typedef DWOR...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值