一句代码提升进程权限

最新推荐文章于 2023-03-16 13:17:40 发布
最新推荐文章于 2023-03-16 13:17:40 发布
阅读量272 收藏 1
点赞数
原文链接:http://www.cnblogs.com/Chinasf/archive/2010/01/13/1646473.html
版权

RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE,1,0,NULL);

这个函数封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。

.常量 SE_BACKUP_PRIVILEGE, "17", 公开
.常量 SE_RESTORE_PRIVILEGE, "18", 公开
.常量 SE_SHUTDOWN_PRIVILEGE, "19", 公开
.常量 SE_DEBUG_PRIVILEGE, "20", 公开


先来看看这个函数的定义(Winehq给出):
NTSTATUS RtlAdjustPrivilege
(
ULONG    Privilege,
BOOLEAN Enable,
BOOLEAN CurrentThread,
PBOOLEAN Enabled
)

参数的含义:
Privilege [In] Privilege index to change.                         
// 所需要的权限名称,可以到MSDN查找关于Process Token & Privilege内容可以查到

Enable [In] If TRUE, then enable the privilege otherwise disable. 
// 如果为True 就是打开相应权限,如果为False 则是关闭相应权限

CurrentThread [In] If TRUE, then enable in calling thread, otherwise process. 
// 如果为True 则仅提升当前线程权限,否则提升整个进程的权限

Enabled [Out] Whether privilege was previously enabled or disabled.
// 输出原来相应权限的状态(打开 | 关闭)


很多人大概没有听说过他的大名,但是相信有很多人见过进程提权的过程
拷一段我写的提权上来吧

ExpandedBlockStart.gif 代码
BOOL ImproveProcPriv()
{
    HANDLE token;
     // 提升权限
     if ( ! OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES, & token))
    {
        MessageBox(NULL, " 打开进程令牌失败... " , " 错误 " ,MB_ICONSTOP);
         return  FALSE;
    }
    TOKEN_PRIVILEGES tkp;
    tkp.PrivilegeCount  =   1 ;
    ::LookupPrivilegeValue(NULL,SE_DEBUG_NAME, & tkp.Privileges[ 0 ].Luid);
    tkp.Privileges[ 0 ].Attributes  =  SE_PRIVILEGE_ENABLED;
     if ( ! AdjustTokenPrivileges(token,FALSE, & tkp, sizeof (tkp),NULL,NULL))
    {
        MessageBox(NULL, " 调整令牌权限失败... " , " 错误 " ,MB_ICONSTOP);
         return  FALSE;
    }
    CloseHandle(token);
     return  TRUE;
}

 

看看吧,这个提权快要累死了...

但是 如果有这个函数就不一样了,你可以只用一个函数就实现这个功能,甚至功能远多于上面的代码...

通过恰当的IDE设置和必要的Defination,上面这个函数的功能你完全可以通过一行代码来实现。

RtlAdjustPrivilege(SE_DEBUG_NAME,1,0,NULL);


正文:

下面我们看一下这个函数是怎么运行的,顺便学习下强大的IDA
IDA 载入ntdll.dll (我这里载入的是 WinDBG自动下载的 Symbol里面的英文版本 可能不同的Windows版本略有不同)


先把函数的原型给输入IDA 方便一下阅读,然后开始阅读汇编代码了(党和国家考验我们的时候到了)。
看看Graph View 真的是很牛啊... 
看看函数最开头...



ExpandedBlockStart.gif 代码
mov      edi, edi         ;  这句话是废指令
push     ebp
 mov      ebp, esp
 sub      esp, 30h         ;  48个字节的子过程域Auto变量
cmp      [ebp+CurrentThread],  1   ;  判断CurrentThread参数是否被指定为1
mov      eax, dword_7C97B0C8
 mov      [ebp+var_4], eax
 mov      eax, [ebp+Enabled]
 mov      [ebp+IsEnabled], eax  ;  BOOL *IsEnabled = Enabled;
lea      eax, [ebp+var_28]
 push     eax
 jz       loc_7C93378B


判断是调整进程权限还是线程权限,
CurrentThread == TRUE
 push      0
push     28h              ;  TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY
push     0FFFFFFFEh       ;  GetCurrentThread()
call     ZwOpenThreadToken
 jmp      loc_7C929A7A


CurrentThread == FALSE
 push     28h              ;  TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY
push     0FFFFFFFFh       ;  GetCurrentProcess()
call     NtOpenProcessToken


然后两个代码块同时指向这里
 loc_7C929A7A:             ;  很明白了吧 判断进程/线程令牌是否成功被打开
test     eax, eax
 jl       short loc_7C929AE4  ;  没成功则跳


若 执行成功

 mov      eax, [ebp+Privilege]
 mov      [ebp+dwPrivilege], eax
 mov      al, [ebp+Enable]
 xor      ecx, ecx         ;  ecx清零
neg      al
 push     esi
 mov      [ebp+NewState],  1
mov      [ebp+var_C], ecx
 sbb      eax, eax
 and      eax,  2
mov      [ebp+var_8], eax
 lea      eax, [ebp+ReturnLength]  ;  实际返回长度
push     eax
 lea      eax, [ebp+OldState]
 push     eax              ;  旧的特权 指针
push     10h              ;  sizeof(TOKEN_PRIVILEGES)
lea      eax, [ebp+NewState]
 push     eax              ;  新的特权 指针
push     ecx              ;  FALSE 因为上面有xor ecx,ecx
push     [ebp+TokenHandle]
 call     NtAdjustPrivilegesToken  ;  调用 AdjustPrivilegesToken提权
push     [ebp+TokenHandle]
 mov      esi, eax         ;  eax备份
call     ZwClose          ;  关闭 内核对象句柄
cmp      esi, 106h        ;  判断NtAdjustPrivilege执行情况 106h = STATUS_NOT_ALL_ASSIGNED
jz       loc_7C947DF2

判断是否执行成功之后,开始输出最后一个参数

 cmp      [ebp+OldState],  0
mov      ecx, [ebp+IsEnabled]
 jnz      loc_7C929E99


若 OldState !=  0  则

 mov      al, [ebp+Enable]          ;  应该很明显了 把Enable变量赋给al 也就是eax最后两位


若 OldState ==  0  则

 mov      eax, [ebp+var_18]
 shr      eax,  1
and      al,  1
jmp      loc_7C929ADF

 

这个函数大致流程就是这样。

到这里差不多可以按一下传说中的F5了

ExpandedBlockStart.gif 代码
int  __stdcall RtlAdjustPrivilege( int  Privilege,  char  Enable,  char  CurrentThread,  int  Enabled)
{
 int  result;  //  eax@2
signed  int  AdjustResult;  //  esi@4
char  returnValue;  //  al@7
int  v7;  //  [sp+2Ch] [bp-4h]@1
int  IsEnabled;  //  [sp+4h] [bp-2Ch]@1
int  TokenHandle;  //  [sp+8h] [bp-28h]@2
int  dwPrivilege;  //  [sp+20h] [bp-10h]@4
signed  int  NewState;  //  [sp+1Ch] [bp-14h]@4
int  v12;  //  [sp+24h] [bp-Ch]@4
int  v13;  //  [sp+28h] [bp-8h]@4
int  OldState;  //  [sp+Ch] [bp-24h]@4
char  ReturnLength;  //  [sp+0h] [bp-30h]@4
unsigned  int  v16;  //  [sp+18h] [bp-18h]@11

v7  =  dword_7C97B0C8;
IsEnabled  =  Enabled;
 if  ( CurrentThread  ==   1  )
    result  =  ZwOpenThreadToken( - 2 40 0 & TokenHandle);
 else
    result  =  NtOpenProcessToken( - 1 40 & TokenHandle);
 if  ( result  >=   0  )
{
    dwPrivilege  =  Privilege;
    NewState  =   1 ;
    v12  =   0 ;
    v13  =   - (Enable  !=   0 &   2 ;
    AdjustResult  =  NtAdjustPrivilegesToken(TokenHandle,  0 & NewState,  16 & OldState,  & ReturnLength);
    ZwClose(TokenHandle);
     if  ( AdjustResult  ==   262  )
      AdjustResult  =   - 1073741727 ;
     if  ( AdjustResult  >=   0  )
    {
       if  ( OldState )
        returnValue  =  (v16  >>   1 &   1 ;
       else
        returnValue  =  Enable;
       * (_BYTE  * )IsEnabled  =  returnValue;
    }
    result  =  AdjustResult;
}
 return  result;
}

 

可读性好像仍然不高,看看这个...

ExpandedBlockStart.gif 代码
/* *****************************************************************************
* RtlAdjustPrivilege          [NTDLL.@]
*
* Enables or disables a privilege from the calling thread or process.
*
* PARAMS
* Privilege     [I] Privilege index to change.
* Enable        [I] If TRUE, then enable the privilege otherwise disable.
* CurrentThread [I] If TRUE, then enable in calling thread, otherwise process.
* Enabled       [O] Whether privilege was previously enabled or disabled.
*
* RETURNS
* Success: STATUS_SUCCESS.
* Failure: NTSTATUS code.
*
* SEE ALSO
* NtAdjustPrivilegesToken, NtOpenThreadToken, NtOpenProcessToken.
*
 */
NTSTATUS WINAPI
RtlAdjustPrivilege(ULONG Privilege,
                   BOOLEAN Enable,
                   BOOLEAN CurrentThread,
                   PBOOLEAN Enabled)
{
    TOKEN_PRIVILEGES NewState;
    TOKEN_PRIVILEGES OldState;
    ULONG ReturnLength;
    HANDLE TokenHandle;
    NTSTATUS Status;

    TRACE( " (%d, %s, %s, %p)\n " , Privilege, Enable  ?   " TRUE "  :  " FALSE " ,
        CurrentThread  ?   " TRUE "  :  " FALSE " , Enabled);

     if  (CurrentThread)
    {
        Status  =  NtOpenThreadToken(GetCurrentThread(),
                                   TOKEN_ADJUST_PRIVILEGES  |  TOKEN_QUERY,
                                   FALSE,
                                    & TokenHandle);
    }
     else
    {
        Status  =  NtOpenProcessToken(GetCurrentProcess(),
                                    TOKEN_ADJUST_PRIVILEGES  |  TOKEN_QUERY,
                                     & TokenHandle);
    }

     if  ( ! NT_SUCCESS(Status))
    {
        WARN( " Retrieving token handle failed (Status %x)\n " , Status);
         return  Status;
    }

    OldState.PrivilegeCount  =   1 ;

    NewState.PrivilegeCount  =   1 ;
    NewState.Privileges[ 0 ].Luid.LowPart  =  Privilege;
    NewState.Privileges[ 0 ].Luid.HighPart  =   0 ;
    NewState.Privileges[ 0 ].Attributes  =  (Enable)  ?  SE_PRIVILEGE_ENABLED :  0 ;

    Status  =  NtAdjustPrivilegesToken(TokenHandle,
                                     FALSE,
                                      & NewState,
                                      sizeof (TOKEN_PRIVILEGES),
                                      & OldState,
                                      & ReturnLength);
    NtClose (TokenHandle);
     if  (Status  ==  STATUS_NOT_ALL_ASSIGNED)
    {
        TRACE( " Failed to assign all privileges\n " );
         return  STATUS_PRIVILEGE_NOT_HELD;
    }
     if  ( ! NT_SUCCESS(Status))
    {
        WARN( " NtAdjustPrivilegesToken() failed (Status %x)\n " , Status);
         return  Status;
    }

     if  (OldState.PrivilegeCount  ==   0 )
         * Enabled  =  Enable;
     else
         * Enabled  =  (OldState.Privileges[ 0 ].Attributes  &  SE_PRIVILEGE_ENABLED);

     return  STATUS_SUCCESS;
}

 

易语言代码:

 

ExpandedBlockStart.gif 代码
.版本  2

.常量 SE_BACKUP_PRIVILEGE,  " 17 " , , 公开
.常量 SE_RESTORE_PRIVILEGE,  " 18 " , , 公开
.常量 SE_SHUTDOWN_PRIVILEGE,  " 19 " , , 公开
.常量 SE_DEBUG_PRIVILEGE,  " 20 " , , 公开

.DLL命令 提升自身进程权限, 整数型,  " ntdll.dll " " RtlAdjustPrivilege "
    .参数 Privilege, 整数型, , 需要的权限,以SE_开头的常量,比如SE_DEBUG_PRIVILEGE表示提升到调试权限
    .参数 Enable, 逻辑型, , 如果为真就是打开相应权限,如果为假则是关闭相应权限
    .参数 CurrentThread, 整数型, , 如果为真则仅提升当前线程权限,否则提升整个进程的权限
    .参数 RetEnable, 整数型, 传址, 输出原来相应权限的状态(打开  |  关闭)

.版本  2

提升自身进程权限 (#SE_DEBUG_PRIVILEGE, 真,  0 0

 

转载:pediy

转载于:https://www.cnblogs.com/Chinasf/archive/2010/01/13/1646473.html

weixin_30845171
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
操作系统专业课程设计进程管理进程间通信样本.doc
12-19
进程的控制可以通过修改程序,让每个进程输出更复杂的字符串,如一句句话,来观察并发执行的效果。在此基础上,引入`lockf()`系统调用来实现进程互斥,确保同一时间只有一个进程能执行特定操作,防止数据不一致。 ...
linux一句话精彩问答
11-17
在Linux操作系统的世界里,一句命令或一行代码往往能解决复杂的问题。"Linux一句话精彩问答"这个主题涵盖了Linux系统中的各种实用技巧和知识点,通过简洁明了的方式,帮助用户快速理解和应用。下面,我们将深入探讨...
VC 一句代码提升进程权限
热门推荐
蜡笔小辛的专栏
04-24 1万+
RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE,1,0,NULL); 这个函数封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。 .常量 SE_BACKUP_PRIVILEGE, "17", 公开 .常量 SE_RESTORE_PRIVILEGE, "18", 公开 .常量 SE_SHUT
RtlAdjustPrivilege 一行代码提升进程权限
tiandyoin的专栏
08-25 7975
前言: 今天逆向一个非常实用的函数RtlAdjustPrivliege 这个函数封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。 先来看看这个函数的定义(Winehq给出): NTSTATUS RtlAdjustPrivilege ( ULONG Privilege, BOOLEAN Enable, BOOLEA
一句提升进程权限
MessCodes
07-02 1346
RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE,1,0,NULL); 这个函数封装在NtDll.dll中(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。 .常量 SE_BACKUP_PRIVILEGE, "17", 公开 .常量 SE_RESTORE_PRIVILEGE, "18", 公开 .常量 SE_S
提升进程权限
hetangbian的专栏
01-05 2646
文章一: 在枚举/结束系统进程或操作系统服务时,会出现自己权限不足而失败的情况,这时就需要提升自己进程到系统权限,其实提升权限代码很简单的,看到过的最经典的应该是《WINDOWS核心编程》第四章中操作进程给出的那个函数了,如果我们真的不了解它的操作也不要紧,因为只要在你需要的地方调用下面这个函数就是了,以下是它的代码:   BOOL EnablePriv() { H
权限提升(提权)一
weixin_45626840的博客
12-02 1013
权限提升
转一篇进程权限的文章!
aibao1266的专栏
07-09 859
权限提升的作用 如果在Windows 98我们要实现用程序关机或重启,只要调用一个API函数ExitWindowsEx()就搞定了。可是在2000/XP下,你会发现你刚刚编的关机程序一点作用都不起! 为什么呢?这是由于在NT或2000以上的系统,要实现关机或重启功能的程序必须获得SE_SHUTDOWN_NAME权限才行。 还有就是往往我们是用管理员账号登录系统,可是有些进程就是无法关闭,而这些
权限提升漏洞
huangyongkang666的博客
03-22 1895
权限提升 1.权限提升权限介绍 ​ 当你通过弱口令爆破、敏感文件读取、sql注入等漏洞获取到了管理员的账号和密码登入后台以后,需要提升自己的权限,就得在后台页面中寻找漏洞利用的点,成功上传webshell提升权限 ​ 提权可分为纵向提权与横向提权:纵向提权:低权限角色获得高权限角色的权限;横向提权:获取同级别角色的权限。 ​ Windows常用的提权方法有:系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、WEB中间件漏洞提权、DLL劫持提权、滥用高危权限令牌提权、第三方软件/服
权限提升总结
Christ1na的博客
03-07 6128
提权 内网
Windows权限提升—溢出提权
最新发布
剁椒鱼头没剁椒的博客
03-16 2699
这里需要我们了解的权限提升大概分为:后台权限,网站权限,数据本权限。接口权限,系统权限。域控权限等。此提权方法是利用系统本身存在的一些系统内核溢出漏洞,但未曾打相应的补丁,攻击者通过对比systeminfo信息中的补丁信息来查找缺失的补丁号,通过缺失补丁号对照相应的系统版本查找对应可以提权提升的exp。不过这里需要注意,只要对应的补丁号加上对应的系统的版本的提权exp才可以成功,有时候如果查找到提权exp提权不成功,那么就可以查看是不是系统版本没对应上,且不排除一些提权漏洞利用需要相应的环境。
易语言进程结束专家源码.zip
01-06
本压缩包“易语言进程结束专家源码.zip”提供了一份易语言编写的进程管理程序的源代码,这对于学习易语言和系统级编程的开发者来说是一份宝贵的参考资料。 首先,我们要理解什么是进程。在计算机科学中,进程是操作...
Linux 一句话精彩问答
06-06
【Linux 一句话精彩问答】 在Linux的世界里,每一行代码、每一个命令都可能蕴藏着丰富的知识与技巧。这里,我们通过一系列精炼的一句话问答,深入浅出地探索Linux操作系统的核心概念、常用命令以及系统管理的...
Linux一句话精彩问答
03-10
本篇内容将围绕"Linux一句话精彩问答"展开,旨在通过简洁明了的方式,提供丰富的Linux相关知识。 1. **Linux基础** - **什么是Linux?** Linux是一种自由和开放源代码的操作系统内核,由林纳斯·托瓦兹创建,其上...
操作系统-实验2进程控制管理-实验报告.doc
12-22
2. 修改程序,使每个进程循环显示一句话。子进程分别显示'daughter...'和'son...',而父进程显示'parent...'. 这有助于深入理解进程间的同步和通信问题,因为不同的输出顺序可能会影响最终结果。 实验步骤涉及: 1. ...
VBring3强杀进程
04-04
3. `mEnablePrivilege.bas`: 进程权限管理是强杀进程的关键,这个文件可能涉及如何启用或禁用系统特权,以允许程序执行需要管理员权限的操作,如结束其他进程。 4. `Form1.frm`: 这是VB应用程序的用户界面(UI)...
VB DLL插入到进程
12-15
DLL(Dynamic Link Library)是Windows操作系统中的一个重要组成部分,它允许多个程序共享同一块内存空间中的代码和数据,从而节省资源并提高效率。"VB DLL插入到进程"这个主题涉及到的是如何将VB编写的动态链接库...
查找窗口句并改名字并打开程序改内存
06-05
标题中的“查找窗口句并改名字并打开程序改内存”是一个相当综合的IT概念,它涉及到几个关键的技术领域,包括Windows编程、进程管理和内存操作。接下来,我们将详细探讨这些知识点。 1. **Windows编程**:这是...
三种向其他进程注入代码的技术详解
CreateRemoteThread函数在另一个进程中启动一个新线程,而LoadLibrary函数则用于加载指定的DLL,使得目标进程能够执行DLL中的代码。这种技术适用于需要在远程进程中执行复杂操作或持续监控的情况,例如实现进程间...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值