令牌窃取实现窗口超级置顶(UIAccess)无需清单设置,直接提权

最新推荐文章于 2024-08-15 05:02:54 发布
最新推荐文章于 2024-08-15 05:02:54 发布
阅读量1.5k 收藏 6
点赞数 4
文章标签: c++ windows 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42112038/article/details/126329951
版权
本文介绍了如何在不修改清单文件的情况下,通过令牌窃取技术赋予程序UIAccess权限,使其能覆盖任务管理器并实现窗口超级置顶。首先,以System权限运行程序,然后获取explorer.exe的令牌,设置UIA信息,最后用此令牌启动目标程序,如截图工具SnippingTool,实现在任务管理器置顶时仍能进行截图的操作。
摘要由CSDN通过智能技术生成

上一篇文章(简单使用系统System(超级管理员)权限运行进程-提权)中,我演示了以系统权限启动某程序的办法。

这次依然是令牌窃取,但是我们要完成的任务是以UIAccess权限启动截图工具,使它能够覆盖住任务管理器的置顶。

我们要取得UIA级别的置顶,通常要设置清单(详见用清单文件让窗口置顶到比任务管理器、放大镜都顶!附“从服务器返回了一个参照”解决办法),但是还可以用比较投机的方式不用过UAC这关直接就取得UIA。吾爱破解上就有这么一篇文章,就在上面那文章里提到。只不过鉴于他那代码太长了,我在前一篇文章的基础上实现。

简述一下原理:我们获得UIA,实际上是使自己程序的令牌具有TokenUIAccess信息,我们调用SetTokenInformation()就可以给一个令牌设置此信息。但是要使我们能够成功设置,必须具有SeTcbPrivilege特权,而这个特权是无法通过AdjustTokenPrivileges()设置的(因为我们压根就没有这个特权,而不是有但是禁用了)。以系统System权限运行的程序则默认就已经开启了这个特权,我们就可以为令牌设置TokenUIAccess
所以思路就有了:先窃取系统进程的令牌(winlogon.exe或lsass.exe,具体操作参见上一篇文章)启动自身,附加一个命令行用来标记(实际上也可以在开头判断是否是系统用户)。程序开头检查这个标记,如果具有则表示是第二次启动(具有了SeTcbPrivilege),就窃取explorer.exe的令牌,复制一份,给它设置UIA信息,再用这个令牌启动目标程序。

下面是启动截图工具SnippingTool的例子,其运行后可以对置顶的任务管理器进行截图:

#include<windows.h>
#include<tlhelp32.h>
#include<string>
int main() {
	//提权到Debug以获取进程句柄
	//https://blog.csdn.net/zuishikonghuan/article/details/47746451
	HANDLE hToken;
	LUID Luid;
	TOKEN_PRIVILEGES tp;
	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))return FALSE;
	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &Luid)) {
		CloseHandle(hToken);
		return FALSE;
	}
	tp.PrivilegeCount = 1;
	tp.Privileges[0].Luid = Luid;
	tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	AdjustTokenPrivileges(hToken, false, &tp, sizeof(tp), NULL, NULL);
	CloseHandle(hToken);
	
	//判断是否已经System权限启动自身
	std::string s = GetCommandLine();
	if(s[s.size()-1]=='S'){
		//降权以当前用户进行启动
		//取explorer的PID
		HWND hwnd = FindWindow("Shell_TrayWnd", NULL);
		DWORD pid;
		GetWindowThreadProcessId(hwnd, &pid);
		//打开句柄,窃取令牌
		HANDLE handle = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, pid);
		HANDLE token;
		OpenProcessToken(handle, TOKEN_DUPLICATE, &token);//取得token
		DuplicateTokenEx(token, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, &token);
		CloseHandle(handle);
		//为令牌启用UIAccess
		BOOL fUIAccess = TRUE;
		SetTokenInformation(token, TokenUIAccess, &fUIAccess, sizeof (fUIAccess));
		//启动信息
		STARTUPINFOW si;
		PROCESS_INFORMATION pi;
		ZeroMemory(&si, sizeof(STARTUPINFOW));
		si.cb = sizeof(STARTUPINFOW);
		si.lpDesktop = L"winsta0\\default";//显示窗口
		//启动进程,不能用CreateProcessAsUser否则报错1314无特权
		CreateProcessWithTokenW(token, LOGON_NETCREDENTIALS_ONLY, NULL, L"snippingtool", NORMAL_PRIORITY_CLASS | CREATE_NEW_PROCESS_GROUP, NULL, NULL, &si, &pi);
		CloseHandle(token);
		return 0;
	}
	
	//枚举进程获取lsass.exe的ID和winlogon.exe的ID,它们是少有的可以直接打开句柄的系统进程
	DWORD idL, idW;
	PROCESSENTRY32 pe;
	pe.dwSize = sizeof(PROCESSENTRY32);
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (Process32First(hSnapshot, &pe)) {
		do {
			if (0 == _stricmp(pe.szExeFile, "lsass.exe")) {
				idL = pe.th32ProcessID;
			}else if (0 == _stricmp(pe.szExeFile, "winlogon.exe")) {
				idW = pe.th32ProcessID;
			}
		} while (Process32Next(hSnapshot, &pe));
	}
	CloseHandle(hSnapshot);
	
	//获取句柄,先试lsass再试winlogon
	HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, idL);
	if(!hProcess)hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, idW);
	HANDLE hTokenx;
	//获取令牌
	OpenProcessToken(hProcess, TOKEN_DUPLICATE, &hTokenx);
	//复制令牌
	DuplicateTokenEx(hTokenx, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, &hToken);
	CloseHandle(hProcess);
	CloseHandle(hTokenx);
	//启动信息
	STARTUPINFOW si;
	PROCESS_INFORMATION pi;
	ZeroMemory(&si, sizeof(STARTUPINFOW));
	si.cb = sizeof(STARTUPINFOW);
	si.lpDesktop = L"winsta0\\default";//显示窗口
	//启动进程,不能用CreateProcessAsUser否则报错1314无特权
	CreateProcessWithTokenW(hToken, LOGON_NETCREDENTIALS_ONLY, NULL, lstrcatW(GetCommandLineW(),L" S"), NORMAL_PRIORITY_CLASS, NULL, NULL, &si, &pi);
	CloseHandle(hToken);
}

效果:(任务管理器已经置顶)
在这里插入图片描述

小流汗黄豆
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
Windows Application UIAccess
linlin003的专栏
04-08 4044
Windows Application UIAccess windows Vista之后 应用程序引入了一个新的属性UIAccess。 如何创建一个integrity level 低于自己的process
python 窗口超级置顶(获取UIAccess)覆盖win10任务管理器
julielele的博客
06-12 590
python 窗口超级置顶(获取UIAccess)覆盖win10任务管理器
在应用程序清单文件中设置 UIAccess
rjc_lihui的专栏
06-13 575
若要获取对受保护系统 UI 的访问权限,必须使用清单文件中包含特殊属性的清单文件生成应用程序。如果省略该属性,或者没有清单,则应用程序无法访问受保护的 UI。标记中,如以下代码示例所示。特性的值只是一个示例。
win32 判断进程状态(挂起/运行中)、用API挂起/恢复进程
不蚌埠!
08-09 4090
应用层判断进程是否挂起的多种方法和调用API NtSuspendProcess()挂起进程
极域工具包 1.1正式发布!窗口化极域,解键盘锁,适配学生机房管理助手7.4-7.5!
热门推荐
不蚌埠!
10-23 1万+
上课有了它挂在后台,既能听课,又能做自己的事情!岂不美哉?
Windows账户安全设置
wangluoanquan111的博客
02-29 1913
用户账户控制(UAC)最初名为User Account Protect,是微软为提高系统安全而在WindowsVista中引入的新技术,它要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止或提示标准用户进行不当的系统设置改变。在Windows7中,微软对UAC功能进行了大量改进,在确保安全性的同时,让UAC的提升提示出现的数量更少,而且我们可以根据需要使用不同级别的提示,因此,在确保安全的同时,也进一步提升了易用性。
CSUACSelfElevation.zip_提权
09-23
这可以通过在项目文件中添加像`<requestedExecutionLevel level="requireAdministrator" uiAccess="false" />`这样的XML代码实现。 3. **自定义代码实现**:如果希望在运行时动态判断并请求提升权限,可以编写...
通过System令牌获取UIAccess
01-10
程序需要提权运行(elevated),因此最好设置请求管理员权限的清单,或者通过某个已提权的进程启动,否则获取不到UIAccess,函数返回值为ERROR_NOT_FOUND。加入头文件和源文件后,在程序的最开头调用...
python弹窗获取ZBID-UIACCESS权限超级置顶dll,可覆盖于win10置顶的任务管理器之上
06-12
1.python可调用dll,使弹窗获取超级置顶权限ZBID_UIACCESS,位于置顶任务管理器之上。 当前对外提供的接口弹窗置顶都无法超越win10任务管理器 2.使用方法 dll文件全都放在调用的py文件同一目录。 from ctypes import...
C++窃取UIAccess权限创建最高Z序的窗口项目,win10可高于任务管理器,里面包含可执行程序及源码
06-12
这类程序一般以普通方式运行,但它们需要访问已提权窗口,于是就有了这么个权限。UIAccess的另一个特性是可以创建Z序最高的窗口,Z序和窗口段在这个博客...
C#实现获取设置IP地址小工具
12-31
主要有NetworkAdapter(保存适配器的IP地址,网关,子网掩码,设置IP方面等 ),NetworkAdapterUtil(主要是NetworkAdapter类的集合 )两个类。  在windows8 需要在app.manifest文件中 修改配置 ”...
数据交互系列:简述token和如何使用token
Code_King006的博客
07-31 2651
欢饮各位大神和同行指点❤
Windows下当前权限上下文
小米的修行之路
12-19 815
>一书中第四章讲解UAC(用户账户控制)的时候,有一个函数GetProcessElevation能返回提升类型和一个指出进程是否正在以管理员身份运行的布尔值. BOOL GetProcesElevation(TOKEN_ELEVATION_TYPE *pElevation, BOOL *pIsAdmin) { HANDLE hToken = NULL; DWORD
全网首发!逆向分析学生机房管理助手7.4随机进程名算法
不蚌埠!
10-02 966
真全网首发,包含成品代码可复制,分析很详细
如何让你的窗口置顶成为最靓的仔(Windows10)
爱编程的叶一笑的博客
05-27 698
大家应该都知道在Windows 8以上引入了一个新的概念叫做窗口段 普通的窗口运行于ZBID_ DESKTOP 级上 ,这导致我们的窗口Z序无法以任何常规方式穿过更高级别的系统窗口,但幸运的是Windows提供了一个辅助应用技术 ,它允许我们通过正常的方式将自己窗口窗口段提升到最高级别,也就是ZBID_UIACCESS.. 这篇文章我将向大家介绍如何用合法的方式让自己的程序超级置顶
C# 应用程序设置运行时自动获取管理员权限,不显示uac提升权限提示
u011555996的博客
02-11 2689
c#
C语言 | Leetcode C语言题解之第337题打家劫舍III
最新发布
m0_59237910的博客
08-15 352
C语言 | Leetcode C语言题解之第337题打家劫舍III
#include "mainwindow.h" #include <QApplication> #include <windows.h> #include <wtsapi32.h> #include <QLibrary> typedef BOOL(WINAPI *WTSSendMessageFunc)(HANDLE, DWORD, LPWSTR, DWORD, LPWSTR, DWORD, DWORD, LPDWORD, BOOL); int main(int argc, char *argv[]) { QApplication a(argc, argv); // 加载wtsapi32.dll QLibrary lib("wtsapi32.dll"); // 判断是否加载成功 if (!lib.load()) { QMessageBox::warning(NULL, "Warning", QString("Failed to load wtsapi32.dll: %1").arg(lib.errorString())); return 1; } // 获取函数指针 WTSSendMessageFunc WTSSendMessage = (WTSSendMessageFunc)lib.resolve("WTSSendMessageW"); if (WTSSendMessage == NULL) { QMessageBox::warning(NULL, "Warning", QString("Failed to resolve WTSSendMessageW: %1").arg(lib.errorString())); return 1; } // 获取当前会话ID DWORD dwSessionId = WTSGetActiveConsoleSessionId(); if (dwSessionId == 0xFFFFFFFF) { QMessageBox::warning(nullptr, QStringLiteral("错误"), QStringLiteral("获取会话ID失败!")); return -1; } // 获取当前会话令牌 HANDLE hToken = NULL; if (!WTSQueryUserToken(dwSessionId, &hToken)) { QMessageBox::warning(nullptr, QStringLiteral("错误"), QStringLiteral("获取用户令牌失败!")); return -1; } // 创建互斥量,确保程序只能运行一个实例 HANDLE mutex = ::CreateMutex(Q_NULLPTR, true, (LPCWSTR)qApp->applicationName().toStdWString().c_str()); if (!mutex) { QMessageBox::warning(nullptr, QStringLiteral("错误"), QStringLiteral("创建互斥量失败!")); CloseHandle(hToken); return -1; } if (GetLastError() == ERROR_ALREADY_EXISTS) { QMessageBox waringBox(QMessageBox::Warning, QStringLiteral("警告"), QStringLiteral("程序[文本数据同步客户端]只能运行一个!")); waringBox.setButtonText(QMessageBox::Ok, QStringLiteral("确定")); waringBox.setStandardButtons(QMessageBox::Ok); waringBox.exec(); ::CloseHandle(mutex); CloseHandle(hToken); return 0; } // 创建新进程,确保程序在当前会话中运行 STARTUPINFO si; ZeroMemory(&si, sizeof(si)); si.cb = sizeof(si); si.lpDesktop = (LPWSTR)L"winsta0\\default"; PROCESS_INFORMATION pi; ZeroMemory(&pi, sizeof(pi)); if (!CreateProcessAsUser(hToken, NULL, (LPWSTR)qApp->applicationFilePath().toStdWString().data(), NULL, NULL, FALSE, CREATE_NEW_CONSOLE, NULL, NULL, &si, &pi)) { QMessageBox::warning(nullptr, QStringLiteral("错误"), QStringLiteral("创建进程失败!")); CloseHandle(mutex); CloseHandle(hToken); return -1; } // 关闭会话令牌和新进程句柄 CloseHandle(hToken); CloseHandle(pi.hProcess); CloseHandle(pi.hThread); // 释放互斥量 ::ReleaseMutex(mutex); // 启动主窗口 MainWindow w; w.show(); return a.exec(); } 在以上代码中会提示:"获取用户令牌失败!",导致无法打开程序,这是什么原因,并给我解决办法
05-31
可能是因为缺少管理员权限导致获取用户令牌失败。您可以尝试以下解决办法: 1. 确保以管理员身份运行程序。 2. 在项目的.manifest文件中添加请求管理员权限的属性,以确保程序以管理员身份运行。示例代码如下: ``` <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2"> <security> <requestedPrivileges> <requestedExecutionLevel level="requireAdministrator" uiAccess="false" /> </requestedPrivileges> </security> </trustInfo> </assembly> ``` 3. 在代码中使用ShellExecute函数打开程序,以确保以管理员身份运行。示例代码如下: ``` QString program = QCoreApplication::applicationFilePath(); QProcess::startDetached("cmd.exe", QStringList() << "/c" << "start" << " " << program); ``` 希望以上解决办法能够帮到您。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值