创建高权限进程

最新推荐文章于 2022-08-12 17:43:13 发布
最新推荐文章于 2022-08-12 17:43:13 发布
阅读量821 收藏
点赞数
分类专栏: c & c++ 文章标签: descriptor null token access security 工具
Author:  sinister
Email:   sinister@whitecell.org
Homepage:http://www.whitecell.org
Date:    2006-02-12

 
/*****************************************************************
  文件名        : wssrun.c
  描述          : 创建高权限进程
  作者          : sinister
  最后修改日期  : 2006.2.09

 *****************************************************************/


// 
// 写这个初衷是为了让 Windows 任务管理器可以结束掉一些服务
// 和僵死进程,用 pslist/pskill 之类工具无法获得象任务管理
// 器那样丰富的信息,还得来回切换,麻烦的很。最初想写个驱动
// 监视任务管理器运行,使用 SYSTEM 进程 TOKEN 替换来达到目的。
// 后来觉得通用性不好,就改用了这种方法。此方法还可使 regedit 
// 查看、编辑 SAM 等注册表键,何乐而不为。
//
// wssrun taskmgr.exe
// wssrun regedit.exe
//


#include 
     
     
#include 
     
     
#include 
     
     
#include 
     
     
#include 
     
     
#include 
     
     
#include 
     
     

#pragma comment(lib,"Shlwapi.lib")


/
// 函数类型 :自定义工具函数
// 函数模块 : 

// 功能 :提升当前进程权限
// 注意 :
/
// 作者 : sinister
// 发布版本 : 1.00.00
// 发布日期 : 2006.2.09
/
// 重   大   修   改   历   史

// 修改者 :
// 修改日期 :
// 修改内容 :
/

BOOL
EnableDebugPriv( LPCTSTR szPrivilege )
{
  HANDLE hToken;
  LUID sedebugnameValue;
  TOKEN_PRIVILEGES tkp;

  if ( !OpenProcessToken( GetCurrentProcess(),
                          TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,
                          &hToken ) )
  {
    return FALSE;
  }
  if ( !LookupPrivilegeValue( NULL, szPrivilege, &sedebugnameValue ) )
  {
    CloseHandle( hToken );
    return FALSE;
  }

  tkp.PrivilegeCount = 1;
  tkp.Privileges[0].Luid = sedebugnameValue;
  tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

  if ( !AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) )
  {
    CloseHandle( hToken );
    return FALSE;
  }

  return TRUE;
}

/
// 函数类型 :自定义工具函数
// 函数模块 : 

// 功能 :通过指定进程名得到其进程 ID
// 注意 : 
/
// 作者 : sinister
// 发布版本 : 1.00.00
// 发布日期 : 2006.2.09
/
// 重   大   修   改   历   史

// 修改者 :
// 修改日期 :
// 修改内容 :
/

DWORD
GetProcessId( LPCTSTR szProcName )
{
  PROCESSENTRY32 pe;  
  DWORD dwPid;
  DWORD dwRet;
  BOOL bFound = FALSE;

  //
  // 通过 TOOHLP32 函数枚举进程
  //

  HANDLE hSP = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
  if ( hSP )
  {
    pe.dwSize = sizeof( pe );

    for ( dwRet = Process32First( hSP, &pe );
          dwRet;
          dwRet = Process32Next( hSP, &pe ) )
    {
      //
      // 使用 StrCmpNI 比较字符传,可忽略大小写
      //
      if ( StrCmpNI( szProcName, pe.szExeFile, strlen( szProcName ) ) == 0 )
      {
        dwPid = pe.th32ProcessID;
        bFound = TRUE;
        break;
      }
    }

    CloseHandle( hSP );

    if ( bFound == TRUE )
    {
      return dwPid;
    }
  }

  return NULL;
}

/
// 函数类型 :自定义工具函数
// 函数模块 : 

// 功能 : 创建具有高权限的进程
// 注意 :
/
// 作者 : sinister
// 发布版本 : 1.00.00
// 发布日期 : 2006.2.09
/
// 重   大   修   改   历   史

// 修改者 :
// 修改日期 :
// 修改内容 :
/

BOOL
CreateSystemProcess( LPTSTR szProcessName )
{
  HANDLE hProcess;
  HANDLE hToken, hNewToken;
  DWORD dwPid;

  PACL pOldDAcl = NULL;
  PACL pNewDAcl = NULL;
  BOOL bDAcl;
  BOOL bDefDAcl;
  DWORD dwRet;

  PACL pSacl = NULL;
  PSID pSidOwner = NULL;
  PSID pSidPrimary = NULL;
  DWORD dwAclSize = 0;
  DWORD dwSaclSize = 0;
  DWORD dwSidOwnLen = 0;
  DWORD dwSidPrimLen = 0;

  DWORD dwSDLen;
  EXPLICIT_ACCESS ea;
  PSECURITY_DESCRIPTOR pOrigSd = NULL;
  PSECURITY_DESCRIPTOR pNewSd = NULL;

  STARTUPINFO si;
  PROCESS_INFORMATION pi;

  BOOL bError;

  if ( !EnableDebugPriv( "SeDebugPrivilege" ) )
  {
    printf( "EnableDebugPriv() to failed!/n" );

    bError = TRUE;
    goto Cleanup;
  }

  //
  // 选择 WINLOGON 进程
  //
  if ( ( dwPid = GetProcessId( "WINLOGON.EXE" ) ) == NULL )
  {
    printf( "GetProcessId() to failed!/n" );   

    bError = TRUE;
    goto Cleanup;
  }

  hProcess = OpenProcess( PROCESS_QUERY_INFORMATION, FALSE, dwPid );
  if ( hProcess == NULL )
  {
    printf( "OpenProcess() = %d/n", GetLastError() );   

    bError = TRUE;
    goto Cleanup;
  }

  if ( !OpenProcessToken( hProcess, READ_CONTROL | WRITE_DAC, &hToken ) )
  {
    printf( "OpenProcessToken() = %d/n", GetLastError() );

    bError = TRUE;
    goto Cleanup;
  }

  //
  // 设置 ACE 具有所有访问权限
  //
  ZeroMemory( &ea, sizeof( EXPLICIT_ACCESS ) );
  BuildExplicitAccessWithName( &ea,
                               "Everyone",
                               TOKEN_ALL_ACCESS,
                               GRANT_ACCESS,
                               0 );

  if ( !GetKernelObjectSecurity( hToken,
                                 DACL_SECURITY_INFORMATION,
                                 pOrigSd,
                                 0,
                                 &dwSDLen ) )
  {
    //
    // 第一次调用给出的参数肯定返回这个错误,这样做的目的是
    // 为了得到原安全描述符 pOrigSd 的长度
    //
    if ( GetLastError() == ERROR_INSUFFICIENT_BUFFER )
    {
      pOrigSd = ( PSECURITY_DESCRIPTOR ) HeapAlloc( GetProcessHeap(),
                                                    HEAP_ZERO_MEMORY,
                                                    dwSDLen );
      if ( pOrigSd == NULL )
      {
        printf( "Allocate pSd memory to failed!/n" );

        bError = TRUE;
        goto Cleanup;
      }

      //
      // 再次调用才正确得到安全描述符 pOrigSd
      //
      if ( !GetKernelObjectSecurity( hToken,
                                     DACL_SECURITY_INFORMATION,
                                     pOrigSd,
                                     dwSDLen,
                                     &dwSDLen ) )
      {
        printf( "GetKernelObjectSecurity() = %d/n", GetLastError() );
        bError = TRUE;
        goto Cleanup;
      }
    }
    else
    {
      printf( "GetKernelObjectSecurity() = %d/n", GetLastError() );
      bError = TRUE;
      goto Cleanup;
    }
  }

  //
  // 得到原安全描述符的访问控制列表 ACL
  //
  if ( !GetSecurityDescriptorDacl( pOrigSd, &bDAcl, &pOldDAcl, &bDefDAcl ) )
  {
    printf( "GetSecurityDescriptorDacl() = %d/n", GetLastError() );

    bError = TRUE;
    goto Cleanup;
  }

  //
  // 生成新 ACE 权限的访问控制列表 ACL
  //
  dwRet = SetEntriesInAcl( 1, &ea, pOldDAcl, &pNewDAcl ); 
  if ( dwRet != ERROR_SUCCESS )
  {
    printf( "SetEntriesInAcl() = %d/n", GetLastError() ); 
    pNewDAcl = NULL;

    bError = TRUE;
    goto Cleanup;
  } 

  if ( !MakeAbsoluteSD( pOrigSd,
                        pNewSd,
                        &dwSDLen,
                        pOldDAcl,
                        &dwAclSize,
                        pSacl,
                        &dwSaclSize,
                        pSidOwner,
                        &dwSidOwnLen,
                        pSidPrimary,
                        &dwSidPrimLen ) )
  {
    //
    // 第一次调用给出的参数肯定返回这个错误,这样做的目的是
    // 为了创建新的安全描述符 pNewSd 而得到各项的长度
    //
    if ( GetLastError() == ERROR_INSUFFICIENT_BUFFER )
    {
      pOldDAcl = ( PACL ) HeapAlloc( GetProcessHeap(),
                                     HEAP_ZERO_MEMORY,
                                     dwAclSize );
      pSacl = ( PACL ) HeapAlloc( GetProcessHeap(),
                                  HEAP_ZERO_MEMORY,
                                  dwSaclSize );
      pSidOwner = ( PSID ) HeapAlloc( GetProcessHeap(),
                                      HEAP_ZERO_MEMORY,
                                      dwSidOwnLen );
      pSidPrimary = ( PSID ) HeapAlloc( GetProcessHeap(),
                                        HEAP_ZERO_MEMORY,
                                        dwSidPrimLen );
      pNewSd = ( PSECURITY_DESCRIPTOR ) HeapAlloc( GetProcessHeap(),
                                                   HEAP_ZERO_MEMORY,
                                                   dwSDLen );

      if ( pOldDAcl == NULL ||
           pSacl == NULL ||
           pSidOwner == NULL ||
           pSidPrimary == NULL ||
           pNewSd == NULL )
      {
        printf( "Allocate SID or ACL to failed!/n" );

        bError = TRUE;
        goto Cleanup;
      }

      //
      // 再次调用才可以成功创建新的安全描述符 pNewSd
      // 但新的安全描述符仍然是原访问控制列表 ACL
      //
      if ( !MakeAbsoluteSD( pOrigSd,
                            pNewSd,
                            &dwSDLen,
                            pOldDAcl,
                            &dwAclSize,
                            pSacl,
                            &dwSaclSize,
                            pSidOwner,
                            &dwSidOwnLen,
                            pSidPrimary,
                            &dwSidPrimLen ) )
      {
        printf( "MakeAbsoluteSD() = %d/n", GetLastError() );

        bError = TRUE;
        goto Cleanup;
      }
    }
    else
    {
      printf( "MakeAbsoluteSD() = %d/n", GetLastError() );

      bError = TRUE;
      goto Cleanup;
    }
  }

  //
  // 将具有所有访问权限的访问控制列表 pNewDAcl 加入到新的
  // 安全描述符 pNewSd 中
  //
  if ( !SetSecurityDescriptorDacl( pNewSd, bDAcl, pNewDAcl, bDefDAcl ) )
  {
    printf( "SetSecurityDescriptorDacl() = %d/n", GetLastError() );

    bError = TRUE;
    goto Cleanup;
  }

  //
  // 将新的安全描述符加到 TOKEN 中
  //
  if ( !SetKernelObjectSecurity( hToken, DACL_SECURITY_INFORMATION, pNewSd ) )
  {
    printf( "SetKernelObjectSecurity() = %d/n", GetLastError() );

    bError = TRUE;
    goto Cleanup;
  }

  //
  // 再次打开 WINLOGON 进程的 TOKEN,这时已经具有所有访问权限
  //
  if ( !OpenProcessToken( hProcess, TOKEN_ALL_ACCESS, &hToken ) )
  {
    printf( "OpenProcessToken() = %d/n", GetLastError() );   

    bError = TRUE;
    goto Cleanup;
  }

  //
  // 复制一份具有相同访问权限的 TOKEN
  //
  if ( !DuplicateTokenEx( hToken,
                          TOKEN_ALL_ACCESS,
                          NULL,
                          SecurityImpersonation,
                          TokenPrimary,
                          &hNewToken ) )
  {
    printf( "DuplicateTokenEx() = %d/n", GetLastError() );   

    bError = TRUE;
    goto Cleanup;
  }


  ZeroMemory( &si, sizeof( STARTUPINFO ) );
  si.cb = sizeof( STARTUPINFO );

  //
  // 不虚拟登陆用户的话,创建新进程会提示
  // 1314 客户没有所需的特权错误
  //
  ImpersonateLoggedOnUser( hNewToken );


  //
  // 我们仅仅是需要建立高权限进程,不用切换用户
  // 所以也无需设置相关桌面,有了新 TOKEN 足够
  //


  //
  // 利用具有所有权限的 TOKEN,创建高权限进程
  //
  if ( !CreateProcessAsUser( hNewToken,
                             NULL,
                             szProcessName,
                             NULL,
                             NULL,
                             FALSE,
                             NULL, //NORMAL_PRIORITY_CLASS | CREATE_NEW_CONSOLE,
                             NULL,
                             NULL,
                             &si,
                             &pi ) )
  {
    printf( "CreateProcessAsUser() = %d/n", GetLastError() );   

    bError = TRUE;
    goto Cleanup;
  }

  bError = FALSE;

  Cleanup:
  if ( pOrigSd )
  {
    HeapFree( GetProcessHeap(), 0, pOrigSd );
  }
  if ( pNewSd )
  {
    HeapFree( GetProcessHeap(), 0, pNewSd );
  }
  if ( pSidPrimary )
  {
    HeapFree( GetProcessHeap(), 0, pSidPrimary );
  }
  if ( pSidOwner )
  {
    HeapFree( GetProcessHeap(), 0, pSidOwner );
  }
  if ( pSacl )
  {
    HeapFree( GetProcessHeap(), 0, pSacl );
  }
  if ( pOldDAcl )
  {
    HeapFree( GetProcessHeap(), 0, pOldDAcl );
  }

  CloseHandle( pi.hProcess );
  CloseHandle( pi.hThread );
  CloseHandle( hToken );
  CloseHandle( hNewToken );
  CloseHandle( hProcess );

  if ( bError )
  {
    return FALSE;
  }

  return TRUE;
}


void
main( int argc, char** argv )
{
  if ( argc < 2 )
  {
    printf( "Usage: wssrun 
     
     /n" );
    return ;
  }

  if ( CreateSystemProcess( argv[1] ) == FALSE )
  {
    printf( "wssrun: CreateSystemProcess() to failed!/n" );
    return ;
  }
}
 
wzbob
关注
专栏目录
C++如何创建权限的标准用户权限进程(附完整源码)
dvlinker的技术专栏
04-17 2530
如何创建权限的标准用户权限进程
创建SYSTEM权限进程
04-19
可以用此模块创建SYSTEMS用户的进程,无法终止哦
创建权限进程的方法
weixu_2008的专栏
09-25 1130
原文转自:http://www.3800hk.com/news/w45/123569.html写这个初衷是为了让 Windows 任务管理器可以结束掉一些服务和僵死进程,用 pslist/pskill 之类工具无法获得象任务管理器那样丰富的信息,还得来回切换,麻烦的很。最初想写个驱动监视任务管理器运行,使用 SYSTEM 进程 TOKEN 替换来达到目的。 后来觉得通用性不好,就改用了这种
进程提权
`小明湖畔.。のBlog
02-17 1780
HANDLE tokenHandle;//获得令牌句柄BOOL bRet = OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &tokenHandle);if (bRet){TOKEN_PRIVILEGES tokenPri;tokenPri.PrivilegeCount = 1;//tokenPri.Privileges数组的大小
【总结】用户权限设置和进程权限提升
华秋实的专栏
11-29 3万+
使用某些Windows API的时候需要提升进程的默认权限,例如RegRestoreKey需要SE_RESTORE_NAME 和SE_BACKUP_NAME 权限。在这种情况下,我们需要使用到一组Windows API提升进程权限。需要的函数有: 1.OpenProcessToken 2.LookupPrivilegeValue 3.AdjustTokenPrivileges 使用
wssrun 创建权限进程
09-05
wssrun 创建权限进程 让 Windows 任务管理器可以结束掉一些服务 和僵死进程,用 pslist/pskill 之类工具无法获得象任务管理器那样丰富的信息,还得来回切换,麻烦的很。此方法还可使 regedit 查看、编辑 SAM 等...
在服务中用管理员权限创建一个可弹出UI的进程
08-16
然而,在某些特定场景下,例如需要一个服务来启动一个具有用户界面的应用程序,我们需要在服务中创建一个具有管理员权限的可弹出UI的进程。下面我们将详细探讨如何实现这一目标。 首先,理解服务的基本概念是必要的...
易语言源码创建进程.rar
03-30
- 权限控制:创建进程可能需要特定的权限,如管理员权限,否则可能会失败。 - 防止恶意行为:在编写创建进程的代码时,需要注意防止被恶意利用,比如防止无限制地创建进程导致资源耗尽。 6. **实践应用**: ...
给初学者:用VB写外挂 ———— 实战四:雷电3修改器
热门推荐
zcsor的专栏
10-04 4万+
代码如下:窗体:请保留作者信息:ZCSOR于06-10-4开发E-MAIL:shaoyan5@163.comOption ExplicitPrivate Sub Form_Load()SetLogo 101初始化要写入的数据Call SetIlu: SetDi: SetNsr: SetIsk: SetIapToKen开始热键获取SetTimer Me.hwnd,
c++获取system权限代码
03-09
程序运行有时需要更权限做更多的事情,本代码就是让c++程序获取system权限的代码
管理员身份获得 SYSTEM 权限的四种方法
编程爱好者
02-19 6901
本文总结了 4 种方法获得 SYSTEM 权限来运行 regedit.exe 文件,源代码很容易修改成命令行方式运行指定的程序。1. 以服务方式运行2. 添加 ACL 的方法3. HOOK ZwCreateProcessEx 函数4. 远程线程的方法  这几种方法都不是我想出来的,我只不过是总结了一下,用 Win32ASM 重写了代码而以。关于这个大家可以看文章末尾的参考资料。下面简单的分析每一种
简单使用系统System(超级管理员)权限运行进程-提权
不蚌埠!
08-12 6314
通过令牌窃取winlogon和lsass来启动进程获得超级管理员权限
以system权限启动应用程序
litomboy的专栏
08-05 6632
最近在搞一个项目,需要程序开机自动运行,可是程序中调用了底层驱动的一些函数,必须以管理员的权限才能运行,否则程序运行不成功,在XP 下 直接写注册表就可以,可是在VISTA 和 WIN7 下写注册表的方式失效,因为必须以管理员的权限运行才可以,迫于无奈,上网查了N多资料,终于找到
[Win32] 服务程序开发(3)Session 0隔离(下)创建SYSTEM权限可交互进程
zuishikonghuan的博客
08-14 4913
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/47662727 在上上篇博文中,我说了如何编写一个系统服务,上一篇,介绍了如何穿透Session 0在当前用户的桌面上创建一个进程,但是缺陷很明显,如果UAC处于开启状态,创
创建SYSTEM用户权限进程
csafu的专栏
02-22 2525
#include #include #include #include #include typedef NTSTATUS (WINAPI *pfRtlAdjustPrivilege)( ULONG Privilege, BOOLEAN Enable, BOOLEAN CurrentThread, PBOOLEAN Enabled); void AdjustPri
WhiteCell Come Back
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
11-17 4857
终于见到了传说中的白细胞。happyinghttp://www.whitecell.org/
Linux SGID标志与目录权限进程控制
"SGID标记对于目录的权限设置以及Linux中的用户、权限进程关系" 在Linux操作系统中,权限管理是系统安全的基础。SGID(Set Group ID)标记是一个重要的权限标志,主要应用于文件和目录,以控制用户和进程的访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值