CreateProcessAsUser之创建进程时指定父进程与UAC(UAC原理)

最新推荐文章于 2024-06-09 20:19:41 发布
最新推荐文章于 2024-06-09 20:19:41 发布
阅读量1.2w 收藏 23
点赞数 5
分类专栏: 安全学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superchickenchicken/article/details/102571822
版权

UAC

UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的时候的出现的全屏变暗的一个提示框,正常的UAC级别下,会检测程序是否有数字签名(可识别程序),以及他的数字签名是否合法,这对于一部分低端的木马具有提醒作用,所以除非特殊情况,不要乱对UCA降权。
在这里插入图片描述

UAC运行原理:

在Windows Vista操作系统中。
用户账户主要有两种:标准用户(stand user) 和 管理员用户 (administrator)
一般在计算机上创建的第一个用户将成为管理员,后续用户默认设置为标准用户。

为什么要有UAC
Windows Vista以前的操作系统,一旦以管理员身份登录的用户被攻破,那就权限崩溃,所以用户们不得不使用标准用户身份登录,一些特殊情况才使用管理员权限。

而有了UAC 用户不在需要专门以标准用户去登录。

因为当一个标准用户登录到计算机时,Vista将创建一个新的登录会话,并通过一个操作系统创建的、与刚刚创建的这个登录会话相关联的shell程序(例如Windows Explorer)作为访问令牌颁发给用户。

而当一个管理员登录到计算机时,Windows Vista的处理方式却与先前版本的Windows有所不同。虽然系统创建了一个新的登录会话,但却为该登录会话创建了两个不同的访问令牌,而不是先前版本中的一个。第一个访问令牌提供了管理员所有的许可和权限,而第二个就是所谓的“受限访问令牌”,有时候也叫做“过滤访问令牌(filtered token)",该令牌提供了少得多的许可和权限。实际上,受限访问令牌所提供的访问权限和标准用户的令牌没什么区别。然后系统将使用该受限访间令牌创建 shell应用程序。这也就意味着即使用户是以管理员身份登录的,其默认的运行程序许可和权限仍为标准用户。

若是该管理员需要执行某些需要额外许可和权限的、并不在受限访间令牌提供权限之内的操作,那么他/她可以选择使用非限制访问令牌所提供的安全上下文来运行该应用程序。在由受限访问令牌“提升到非限制访间令牌的过程中,Windows Vista将通过给管理员提示的方式确认该操作,以其确保计算机系统的安全。恶意代码不可能绕过该安全提示并在用户不知不觉中得到对计算机的完整控制。

UAC提权

进程完整性级别,系统的每个进程有相应的完整性级别标志,与资源的完整性级别相互验证,以提供额外的安全保护。

用户态进程可以设置如下四种完整性级别:

1.Low
2.Medium
3.High
4.System

管理员的标准用户模式下(未提升)是(Medium)完整性级别
经过提升后拥有高(High)完整性级别。
运行于Local System之下的账户拥有(System)完整性级别

提权简单流程:

  1. 获取需要查询的进程的访问令牌
  2. 根据令牌获取指定类型信息,得到表示完整性级别的SID
  3. 根据该进程的SID,决定是否需要用户确认,然后进行提权。

《深入解析Windows操作系统》里面讲解了UAC的原理,里面的意思是这样解释UAC提权的:

当用户允许一次UAC提权时,AIS服务(AppInfo Service)调用的CreateProcessAsUser() 函数创建进程并且赋予恰当的管理员权限,在理论上说AIS服务(所在的进程)是提权后辣个进程的父进程。

然而,当我们用一些进程查看管理工具 进行查看时,会发现已经被提权的进程,它的父进程是创建它的进程,而不是AIS服务(所在的进程)。

这是因为AIS利用了CreateProcessAsUser() API中的一个新的功能,这里的新功能就是将要被提权的进程的父进程设置成创建该进程的进程,如果我们利用一下该API,就可以把一个进程的父进程设置为任意进程。

如果把木马进程的父进程设置为 杀软 或者csrss.exe ,notepad.exe 等可信进程,那么对于依据父进程可疑(进程链)来查杀的杀软就轻易绕过了。(360绕不过,估计慢慢的都会意识到这点)。

下面的代码就是关于CreateProcessAsUser()的使用:

原理->MSDN:
如果是CreateProcessAsUser 的dwCreationFlags 的参数被设置为EXTENDED_STARTUPINFO_PRESENT, 这就是有扩展启动信息的结构体,
这里的IpStartupInfo参数需要填好STARTUPEX 结构
这个结构由STARTUOINFO结构和PROC_THREAD_ATTRIBUTE_LIST 指针构成

typedef struct _STARTUPINFOEX {
  STARTUPINFO                 StartupInfo;
  PPROC_THREAD_ATTRIBUTE_LIST lpAttributeList;
} STARTUPINFOEX, *LPSTARTUPINFOEX;

也就是说,调用CreateProcessAsUser 且设置dwCreationFlags参数的值为EXTENDED_STARTUPINFO_PRESENT,此时再将结构体中的PPROC_THREAD_ATTRIBUTE_LIST lpAttributeList 值设置目标父进程的属性。

下面看具体代码:

//一般情况下,创建子进程的进程 就是子进程的父进程。而这部分代码功能: 去指定任何一个有相应权限的进程为新创建进程的父进程

#include <iostream>
#include <Windows.h>
#include <Tlhelp32.h> //因为Tlhelp32.h 中一些宏定义是在windows.h中定义的,所以Tlhelp32.h 要定义在windows.h的后面
#pragma comment(lib, "Advapi32.lib")

int main()
{
/
	LPVOID pAlloc1;
	LPVOID pAlloc2;
	HANDLE hfile;
	PIMAGE_NT_HEADERS pPeHeader;
	PIMAGE_SECTION_HEADER pSectionHeader;
	int lastError, ReadInfo = 0;
	DWORD BytesRead = 0;
	CONTEXT Context = { 0 };
	Context.ContextFlags = CONTEXT_ALL;

	PROCESSENTRY32 pe;
	// explorer.exe的进程ID
	DWORD  pid = 0;

	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	pe.dwSize = sizeof(PROCESSENTRY32);
	if (!Process32First(hSnapshot, &pe))
		return 0;

	do
	{
		pe.dwSize = sizeof(PROCESSENTRY32);
		if (Process32Next(hSnapshot, &pe) == FALSE)
			break;
		if (wcscmp(pe.szExeFile, L"cmd.exe") == 0)
		{
			pid = pe.th32ProcessID;
			break;
		}

	} while (1);

	CloseHandle(hSnapshot);

	/* 以全部权限打开explorer.exe 进程 */
	HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

	/* 创建启动信息结构体 */
	STARTUPINFOEXA si;

	/* 初始化结构体 */
	ZeroMemory(&si, sizeof(si));

	/* 设置结构体成员 */
	si.StartupInfo.cb = sizeof(si);

	SIZE_T lpsize = 0;

	/* 用微软规定的特定的函数初始化结构体 */
	InitializeProcThreadAttributeList(NULL, 1, 0, &lpsize);//首先要获取到需要初始化的大小

	char * temp = new char[lpsize];

	/* 转换指针到正确类型 */
	LPPROC_THREAD_ATTRIBUTE_LIST AttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)temp;

	/* 真正为结构体初始化属性参数 */
	InitializeProcThreadAttributeList(AttributeList, 1, 0, &lpsize);//设置AttributeList结构体属性个数以及初始化它的大小

	/* 用已构造的属性结构体更新属性表 */
	if (!UpdateProcThreadAttribute(AttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &handle, sizeof(HANDLE), NULL, NULL))
	{
		//更新AttrubuteList 属性,添加PROC_THREAD_ATTRIBUTE_PARENT_PROCESS属性
		printf("UpdateProcThreadAttribute failed ! (%d).\n", GetLastError());
	}

	/* 移交指针,这里已更换了父进程的属性表是 explorer.exe */
	si.lpAttributeList = AttributeList;

	PROCESS_INFORMATION pi;

	ZeroMemory(&pi, sizeof(pi));
	//当调用下面的api 且createFlags的参数是EXTENDED_STARTUPINFO_PRESENT时,lpStartupInfo就需要有扩展的信息,也就是这条属性:PPROC_THREAD_ATTRIBUTE_LIST lpAttributeList;
	if (CreateProcessAsUserA(NULL, 0, "C:\\Users\\Administrator\\Desktop\\Play.exe", 0, 0, 0, EXTENDED_STARTUPINFO_PRESENT, 0, 0, (LPSTARTUPINFOA)&si, &pi))
	{
		printf("CreateProcessAsUserA success !  \n");
	}
	else
	{
		printf("CreateProcessAsUserA failed ! (%d). \n ", GetLastError());
	}

	/* 处理后事 */
	DeleteProcThreadAttributeList(AttributeList);

	delete temp;

	printf("exit");
	getchar();

	return 0;
}

UAC绕过有些复杂呀,以后有机会试试。
关于绕过UAC的文章链接:
https://www.freebuf.com/vuls/183914.html

0F34
关注
  • 5
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
C++如何创建低权限的标准用户权限进程(附完整源码)
dvlinker的技术专栏
04-17 2447
如何创建低权限的标准用户权限进程
[网络安全自学篇] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC
杨秀璋的专栏
09-12 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充相关知识点。第六篇文章主要介绍木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC,希望对您有所帮助。
Windows C++:深入理解Windows API:用户身份验证、访问令牌获取和权限管理
Bobowen的博客
03-04 1281
是 Windows API 中的一个函数,它允许程序以另一个用户的身份创建一个新进程。这通常用于服务或进程需要以不同于启动该服务或进程的用户的权限执行任务。使用可以实现高级的权限管理和安全性,特别是在需要精细控制进程权限的情况下。验证用户身份:使用LogonUser函数验证远程用户的凭证。获取用户令牌:验证成功后,LogonUser会返回一个令牌,该令牌代表了用户的身份。创建进程:使用函数以获取的用户令牌创建进程,该进程将以指定用户的身份运行。// 用户凭证。
创建进程指定进程
12-24
创建一个进程指定进程
Windows创建进程指定进程
被遗弃的庸才博客
11-04 1549
通常情况下,在进程特别多的情况下使用ProcMon抓行为的候都只是简单的看一下该进程进程树,不会去注意系统进程创建进程,这里就有了一个想法,可不可以在创建指定进程,之后在网上找了份代码,也没改直接拿来测试下,发现在提权之后是可以指定进程为session 0的进程 #include<windows.h> #include<stdio.h> BOOL ...
创建进程指定进程
Sven的忘却日记
04-29 3450
创建进程创建进程指定进程,可以用来破坏进程链,加大溯源难度,而且用procmon也抓不到日志 #include "stdafx.h" #include "windows.h" #include <intrin.h> #include <TlHelp32.h> DWORD GetProcessIDFromName(WCHAR * name) { PROCESS...
CreateProcessAsUser
君子居易
07-23 8001
CreateProcessAsUser函数创建一个新的进程及其主线程。新进程然后执行指定的可执行文件。该CreateProcessAsUser功能类似的CreateProcess函数,除了新进程运行在由hToken参数表示的用户的安全上下文中。默认情况下,新进程是非交互式的,即它运行在不可见且无法接收用户输入的桌面上。此外,默认情况下,新进程继承调用进程的环境,而不是与指定用户关联的环境。 BOOL CreateProcessAsUser( HANDLEhToken, // 处理代表..
CreateProcessAsUserCreateProcessWithLogonW的简单案列
qq_34227896的博客
02-18 2万+
介绍6种比较常用的运行(执行)程序的方法: 包括WinExec、ShellExecute、CreateProcessCreateProcessAsUserCreateProcessWithLogonW、CreateProcessWithTokenW 一、CreateProcessAsUser创建一个新进程及其主线程。 1、创建当前登录(活跃)用户下的进程 // pch.cpp: ...
关于进程和子进程的关系(UAC 绕过思路)
byteway的专栏
05-11 6490
表面上看,在windows中。如果是a进程创建了b进程,那么a进程就是b进程进程,反之,如果是b创建了a,那么b进程就是a的进程,这是在windows出现以来一直是程序猿们都证实的,但是在在win Vista后面有了一个新安全消息机制,UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的候的出现的全屏变暗的一个提示框,这
易语言以管理员模式创建进程源码
06-01
例如,我们可以调用`CreateProcessAsUser`或`CreateProcessWithTokenW`等API来创建具有管理员权限的新进程。 2. **权限检查**:在尝试以管理员权限创建进程前,我们需要先检查当前用户是否有相应的权限。这通常通过...
CreateProcessAsUser:在其他Windows会话中创建进程
05-05
CreateProcessAsUser 这使用Win32 API来: 查找当前活动的用户会话 在该会话中产生一个新流程 这允许在其他会话(例如Windows服务)中运行的进程使用用户必须看到的图形用户界面启动进程。 请注意,该过程必须具有适当的(管理员)特权才能正常工作。 用法 using murrayju . ProcessExtensions ; // ... ProcessExtensions . StartProcessAsCurrentUser ( " calc.exe " ); 参数 第二个参数用于将命令行参数作为字符串传递。 根据目标应用程序,可能期望argv[0]作为可执行文件的名称,或者它可能是第一个参数。 有关详细信息,请参。 如有疑问,请尝试两种方式。
VC使用logoUserCreateProcessAsUser指定用户运行程序例子
02-29
VC使用logoUserCreateProcessAsUser指定用户运行程序例子 名家作品。收藏一下。 VC实现runas的功能。
进程createprocess
12-10
进程一直在输出“child process is talking at【system time】” 进程一直在输出“parent process is····” 由两个窗口分别显示
易语言CreateProcessAsUser
07-21
易语言CreateProcessAsUser源码,CreateProcessAsUser,RunProcess,GetTokenByName,CreateToolhelp32Snapshot,Process32First,OpenProcess,OpenProcessToken,Process32Next,CloseHandle,LocalSize
易语言CreateProcessAsUser源码-易语言
06-13
易语言CreateProcessAsUser源码
如何创建低权限的标准用户权限进程
最新发布
dvlinker的技术专栏
06-09 28
如何创建低权限的标准用户权限进程
CreateProcessAsUser的用法
热门推荐
天使的薄荷
12-16 2万+
    最近太忙了,忙着弄公司的产品,现在好不容易有点间来写点东西,代码很乱,没有整理,只是提供思路DWORD __stdcall INTER_GetExplorerToken(OUT PHANDLE  phExplorerToken )    {       DWORD       dwStatus = ERROR_FILE_NOT_FOUND ;        BOOL        b
CreateProcessAsUser()的使用
S664200185的专栏
09-06 5482
HANDLE hToken = NULL; TCHAR szUsername[MAX_PATH]; TCHAR para[MAX_PATH] = {0}; TCHAR szUsernamePath[MAX_PATH]; DWORD dwUsernameLen = MAX_PATH; DWORD cursessionid; cursessionid = WTSGetActiveConso
c++ 让指定进程以管理员权限运行,并且绕过UAC提示
05-26
在 Windows 中,要以管理员权限运行一个进程并绕过 UAC 提示,可以使用以下方法: 1. 使用 ShellExecuteEx 函数启动进程。该函数可以在指定进程上下文中启动应用程序。 2. 在启动进程之前,需要创建一个管理员特权的进程令牌。可以使用 OpenProcessToken 和 DuplicateTokenEx 函数来创建一个管理员特权的令牌。 3. 使用 CreateProcessAsUser 函数以管理员权限运行指定进程。这个函数会将进程启动在指定的用户上下文中。 下面是一个简单的 C++ 代码示例: ``` #include <windows.h> #include <sddl.h> #include <userenv.h> #include <shlobj.h> #include <iostream> void RunElevated(const wchar_t* cmdLine) { SHELLEXECUTEINFO sei = { sizeof(sei) }; sei.lpVerb = L"runas"; sei.lpFile = cmdLine; sei.hwnd = NULL; sei.nShow = SW_NORMAL; if (!ShellExecuteEx(&sei)) { DWORD error = GetLastError(); if (error == ERROR_CANCELLED) { // The user refused to allow privileges elevation. std::cerr << "User refused to allow privileges elevation.\n"; } else { std::cerr << "Failed to elevate privileges. Error code: " << error << "\n"; } } } int main() { // Get the current process token. HANDLE tokenHandle; if (!OpenProcessToken(GetCurrentProcess(), TOKEN_DUPLICATE | TOKEN_QUERY | TOKEN_ASSIGN_PRIMARY, &tokenHandle)) { std::cerr << "Failed to open process token. Error code: " << GetLastError() << "\n"; return 1; } // Duplicate the token with admin privileges. HANDLE elevatedTokenHandle; if (!DuplicateTokenEx(tokenHandle, TOKEN_ALL_ACCESS, NULL, SecurityIdentification, TokenPrimary, &elevatedTokenHandle)) { std::cerr << "Failed to duplicate process token. Error code: " << GetLastError() << "\n"; CloseHandle(tokenHandle); return 1; } // Set the elevation level of the new token to full. TOKEN_ELEVATION_TYPE elevationType; DWORD elevationSize = sizeof(TOKEN_ELEVATION_TYPE); if (!GetTokenInformation(elevatedTokenHandle, TokenElevationType, &elevationType, sizeof(elevationType), &elevationSize)) { std::cerr << "Failed to get token information. Error code: " << GetLastError() << "\n"; CloseHandle(tokenHandle); CloseHandle(elevatedTokenHandle); return 1; } if (elevationType != TokenElevationTypeFull) { TOKEN_ELEVATION elevation = { 0 }; elevation.TokenIsElevated = 1; if (!SetTokenInformation(elevatedTokenHandle, TokenElevation, &elevation, sizeof(elevation))) { std::cerr << "Failed to set token information. Error code: " << GetLastError() << "\n"; CloseHandle(tokenHandle); CloseHandle(elevatedTokenHandle); return 1; } } // Get the user name and domain name for the current user. DWORD size = 0; GetUserNameEx(NameSamCompatible, NULL, &size); std::wstring userName(size, L'\0'); GetUserNameEx(NameSamCompatible, &userName[0], &size); size = 0; GetComputerNameEx(ComputerNameDnsDomain, NULL, &size); std::wstring domainName(size, L'\0'); GetComputerNameEx(ComputerNameDnsDomain, &domainName[0], &size); // Create the user profile for the new user token. PROFILEINFO profileInfo = { sizeof(profileInfo) }; profileInfo.dwFlags = PI_NOUI; profileInfo.lpUserName = &userName[0]; profileInfo.lpProfilePath = L""; profileInfo.lpDefaultPath = L""; profileInfo.lpServerName = &domainName[0]; profileInfo.lpPolicyPath = L""; profileInfo.hProfile = NULL; DWORD sessionId; HANDLE userTokenHandle; if (!CreateProfile(&profileInfo, &userTokenHandle)) { std::cerr << "Failed to create user profile. Error code: " << GetLastError() << "\n"; CloseHandle(tokenHandle); CloseHandle(elevatedTokenHandle); return 1; } if (!ProcessIdToSessionId(GetCurrentProcessId(), &sessionId)) { std::cerr << "Failed to get session ID. Error code: " << GetLastError() << "\n"; CloseHandle(tokenHandle); CloseHandle(elevatedTokenHandle); CloseHandle(userTokenHandle); return 1; } if (!ImpersonateLoggedOnUser(userTokenHandle)) { std::cerr << "Failed to impersonate user. Error code: " << GetLastError() << "\n"; CloseHandle(tokenHandle); CloseHandle(elevatedTokenHandle); CloseHandle(userTokenHandle); return 1; } // Get the path to the executable. wchar_t exePath[MAX_PATH]; if (GetModuleFileName(NULL, exePath, MAX_PATH) == 0) { std::cerr << "Failed to get executable path. Error code: " << GetLastError() << "\n"; CloseHandle(tokenHandle); CloseHandle(elevatedTokenHandle); CloseHandle(userTokenHandle); return 1; } RunElevated(exePath); // Restore the original token and close the elevated token. if (!RevertToSelf()) { std::cerr << "Failed to revert to self. Error code: " << GetLastError() << "\n"; CloseHandle(tokenHandle); CloseHandle(elevatedTokenHandle); CloseHandle(userTokenHandle); return 1; } CloseHandle(tokenHandle); CloseHandle(elevatedTokenHandle); CloseHandle(userTokenHandle); return 0; } ``` 这个代码示例使用了 ShellExecuteEx 函数来以管理员权限运行指定进程。如果进程启动失败,将会输出错误信息。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值