上一篇文章(简单使用系统System(超级管理员)权限运行进程-提权)中,我演示了以系统权限启动某程序的办法。
这次依然是令牌窃取,但是我们要完成的任务是以UIAccess权限启动截图工具,使它能够覆盖住任务管理器的置顶。
我们要取得UIA级别的置顶,通常要设置清单(详见用清单文件让窗口置顶到比任务管理器、放大镜都顶!附“从服务器返回了一个参照”解决办法),但是还可以用比较投机的方式不用过UAC这关直接就取得UIA。吾爱破解上就有这么一篇文章,就在上面那文章里提到。只不过鉴于他那代码太长了,我在前一篇文章的基础上实现。
简述一下原理:我们获得UIA,实际上是使自己程序的令牌具有TokenUIAccess
信息,我们调用SetTokenInformation()
就可以给一个令牌设置此信息。但是要使我们能够成功设置,必须具有SeTcbPrivilege
特权,而这个特权是无法通过AdjustTokenPrivileges()
设置的(因为我们压根就没有这个特权,而不是有但是禁用了)。以系统System权限运行的程序则默认就已经开启了这个特权,我们就可以为令牌设置TokenUIAccess
。
所以思路就有了:先窃取系统进程的令牌(winlogon.exe或lsass.exe,具体操作参见上一篇文章)启动自身,附加一个命令行用来标记(实际上也可以在开头判断是否是系统用户)。程序开头检查这个标记,如果具有则表示是第二次启动(具有了SeTcbPrivilege
),就窃取explorer.exe的令牌,复制一份,给它设置UIA信息,再用这个令牌启动目标程序。
下面是启动截图工具SnippingTool的例子,其运行后可以对置顶的任务管理器进行截图:
#include<windows.h>
#include<tlhelp32.h>
#include<string>
int main() {
//提权到Debug以获取进程句柄
//https://blog.csdn.net/zuishikonghuan/article/details/47746451
HANDLE hToken;
LUID Luid;
TOKEN_PRIVILEGES tp;
if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))return FALSE;
if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &Luid)) {
CloseHandle(hToken);
return FALSE;
}
tp.PrivilegeCount = 1;
tp.Privileges[0].Luid = Luid;
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken, false, &tp, sizeof(tp), NULL, NULL);
CloseHandle(hToken);
//判断是否已经System权限启动自身
std::string s = GetCommandLine();
if(s[s.size()-1]=='S'){
//降权以当前用户进行启动
//取explorer的PID
HWND hwnd = FindWindow("Shell_TrayWnd", NULL);
DWORD pid;
GetWindowThreadProcessId(hwnd, &pid);
//打开句柄,窃取令牌
HANDLE handle = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, pid);
HANDLE token;
OpenProcessToken(handle, TOKEN_DUPLICATE, &token);//取得token
DuplicateTokenEx(token, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, &token);
CloseHandle(handle);
//为令牌启用UIAccess
BOOL fUIAccess = TRUE;
SetTokenInformation(token, TokenUIAccess, &fUIAccess, sizeof (fUIAccess));
//启动信息
STARTUPINFOW si;
PROCESS_INFORMATION pi;
ZeroMemory(&si, sizeof(STARTUPINFOW));
si.cb = sizeof(STARTUPINFOW);
si.lpDesktop = L"winsta0\\default";//显示窗口
//启动进程,不能用CreateProcessAsUser否则报错1314无特权
CreateProcessWithTokenW(token, LOGON_NETCREDENTIALS_ONLY, NULL, L"snippingtool", NORMAL_PRIORITY_CLASS | CREATE_NEW_PROCESS_GROUP, NULL, NULL, &si, &pi);
CloseHandle(token);
return 0;
}
//枚举进程获取lsass.exe的ID和winlogon.exe的ID,它们是少有的可以直接打开句柄的系统进程
DWORD idL, idW;
PROCESSENTRY32 pe;
pe.dwSize = sizeof(PROCESSENTRY32);
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (Process32First(hSnapshot, &pe)) {
do {
if (0 == _stricmp(pe.szExeFile, "lsass.exe")) {
idL = pe.th32ProcessID;
}else if (0 == _stricmp(pe.szExeFile, "winlogon.exe")) {
idW = pe.th32ProcessID;
}
} while (Process32Next(hSnapshot, &pe));
}
CloseHandle(hSnapshot);
//获取句柄,先试lsass再试winlogon
HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, idL);
if(!hProcess)hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, idW);
HANDLE hTokenx;
//获取令牌
OpenProcessToken(hProcess, TOKEN_DUPLICATE, &hTokenx);
//复制令牌
DuplicateTokenEx(hTokenx, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, &hToken);
CloseHandle(hProcess);
CloseHandle(hTokenx);
//启动信息
STARTUPINFOW si;
PROCESS_INFORMATION pi;
ZeroMemory(&si, sizeof(STARTUPINFOW));
si.cb = sizeof(STARTUPINFOW);
si.lpDesktop = L"winsta0\\default";//显示窗口
//启动进程,不能用CreateProcessAsUser否则报错1314无特权
CreateProcessWithTokenW(hToken, LOGON_NETCREDENTIALS_ONLY, NULL, lstrcatW(GetCommandLineW(),L" S"), NORMAL_PRIORITY_CLASS, NULL, NULL, &si, &pi);
CloseHandle(hToken);
}
效果:(任务管理器已经置顶)