System权限下进程遇到的问题以及如何降权启动进程

最新推荐文章于 2024-06-06 16:03:39 发布
最新推荐文章于 2024-06-06 16:03:39 发布
阅读量8.9k 收藏 20
点赞数 1
分类专栏: Windows 文章标签: system 权限 启动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yockie/article/details/46446047
版权

一. 背景

最近项目上踩到一个坑,即偶现升级过程中通过计划任务调起新安装包,程序安装到了错误的地方,并且桌面快捷方式等入口均没有生成,总而言之就是一个“自杀”行为。

二. 原因

通过测试发现原因:在有些情况下,通过计划任务(通过服务也是如此)调起的进程是system权限的。而在system权限下进程可能会遇到很多问题:

  1. 通过注册表或expand 环境变量等方法得到的系统目录并不是我们想要的,例如通过SHGetSpecialFolderPath获取CSIDL_LOCAL_APPDATA的路径为C:\windows\system32\config\systemprofile\appdata\local;通过GetEnvironmentVariable获取TMP的路径为C:\Windows\TEMP等;这一类的目录包括且不限于:desktop, paograms, appdata, etc..
  2. 具有system权限的进程创建的子进程也是具有system权限的,这样子进程也会遇到上面第1点的问题
  3. GetEnvironmentVariable函数获取到的环境变量都是SYSTEM用户的
  4. 对HKEY_CURRENT_USER的部分注册表的写操作将会被重定向到HKEY_USERS.DEFAULT

三. 解决过程:

1. 解决目录问题

step1.如何判断是在system下

正常的方法当然是通过通过权限相关的API来判断,当然也可以有一些小技巧来判断。例如上面说到的通过SHGetSpecialFolderPath获取CSIDL_LOCAL_APPDATA的路径,非system权限下为C:\Users\username\AppData\Local,而在system下为C:\windows\system32\config\systemprofile\appdata\local。因此,代码如下:

bool IsSystemPrivilegeImp()
{
    static bool isSystemPrivilege = false;
    if (isSystemPrivilege)
    {
        return isSystemPrivilege;
    }

    char szPath[MAX_PATH] = {
  0};
    if (::SHGetSpecialFolderPathA(NULL, szPath, CSIDL_APPDATA, TRUE))
    {
        std::string flag("config\\systemprofile");
        std::string path(szPath);
        if (path.find(flag) != std::string::npos)
        {
            isSystemPrivilege = true;
        }
    }

    return isSystemPrivilege;
}

step2. 模拟当前登陆用户

想要获取的正确的目录,需要模拟当前登陆用户,获取登录用户的token,再调用SHGetSpecialFolderPath传入此token来获取。另外通过此token,还可以通过CreateProcessAsUser来创建登录用户权限的进程,这点下文再详述。

// 若执行成功,传出获取的token
bool ImpersonateLoggedOnUserWrapper(HANDLE& hToken)
{
    DWORD dwConsoleSessionId = WTSGetActiveConsoleSessionId();
    if (WTSQueryUserToken(dwConsoleSessionId, &hToken))
    {
最低0.47元/天 解锁文章
华秋实
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
降权启动进程
ckkyjtqlt的专栏
07-05 2023
需求:管理员启动了安装包并安装完后需要启动程序。此时希望是以当前登录用户来启动,而不是以管理员用户来启动(安装包是管理员权限,直接启动因为权限继承原因,程序也会是管理员权限)思路:利用当前explorer.exe进程的token去创建目的进程DWORD  GetExplorerToken(int nProcessId,OUT PHANDLE  phExplorerToken) {   DWO...
在SYSTEM权限下以当前用户权限运行程序
01-06
在SYSTEM权限下以登陆用户运行程序。 ap.exe yourprogram.exe 请勿用于非法用途,即使要用一定要自己编译去掉banner!
程序中如何安全的使用system来执行程序
最新发布
科技工作者的博客
06-06 247
system()会调用fork()产生子进程,复制进程映像(fork函数), 由子进程来调用/bin/sh-c string来执行参数string字符串所代表的命令,此命令执行完后随即返回原调用的进程。系统调用(System Call)是操作系统提供的一组功能接口,给应用程序实现一系列高权限的功能服务。系统调用一般是实现整个计算机的核心资源的访问和管理功能。所以,system直接会复制父进程的空间,这样在使用中,可能会因为资源问题,导致程序异常,特别是频繁调用system,会出现较高的概率异常。
以system权限启动程序
qq_37131073的博客
06-04 681
system权限
用system权限执行程序
blh的专栏
07-25 1392
 今天遇到一个问题,在windows vista中需要手工删除注册表中的一注册项,但该项要求system权限(比administrator权限还高),经过不断努力找到一个程序,在命令行自行命令将regedit.exe按照system权限运行,成功的删除了那个注册表项 命令为 psexec.exe -i -d -s regedit.exe  psexec.exe位于工具集 pstoo
以当前登录用户权限打开程序
05-10
System权限运行的程序,比如系统服务打开外部程序时也是以System权限打开,但是有的程序不支持SYSTEM权限。 以当前登录用户权限打开程序,可以解决这个问题
windows以system权限启动进程
Bpazy的博客
05-26 4740
以管理员身份启动CMD,使用以下命令即可以system权限启动对应进程: PsExec -i -s -d taskmgr PsExec可在SysinternalsSuite工具包中找到,链接:https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite。 ...
Windows 进程权限浅谈 -- 提权 / 降权
0x0007 的博客
03-24 2026
在 Windows 上,用户对权限并不敏感,可能最为直观的是 UAC ,但相信很多人已经关掉了它的提示。但其实安全性早已深入了 Windows 的方方面面。Windows Vista 引入了一个称为强制完整性控制()的新安全结构,类似于 Linux/Unix 中可用的完整性功能。在 Windows Vista 以及后续版本如Windows 11/10和Windows 8/7中,所有安全主体(用户、计算机、服务等)和对象(文件、注册表键、文件夹和资源)都被赋予MIC标签。
【两份源码】SYSTEM权限启动进程
08-06
6. **注册表键值**:某些情况下,可以修改注册表键值以确保进程以SYSTEM权限启动。例如,修改`HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell`键,但这种方法非常敏感,应谨慎...
system权限进程以user权限调用进程
12-11
"system权限进程以user权限调用进程"这个主题涉及到了Windows权限模型、进程创建以及WinAPI函数的使用。让我们深入探讨一下这些概念。 首先,Windows权限模型基于用户账户控制(User Account Control, UAC),它将...
c++获取system权限代码
03-09
程序运行有时需要更高的权限做更多的事情,本代码就是让c++程序获取system权限的代码
注入系统进程降权,获取HASH值
05-24
注入系统进程,进行降权,获取HASH值。
C#提升进程/程序权限
10-04
这会在生成的清单文件(.manifest)中添加对应条目,确保应用程序启动时会请求管理员权限。 2. **使用PrincipalPermissionAttribute**:在方法或类上使用这个特性可以要求特定的权限。例如,如果需要管理员权限,...
winfrom Windows服务监控exe进程启动exe窗体应用程序
08-14
本话题关注的是如何通过C#编程,让一个WinForm应用程序(Windows服务)监控另一个exe进程,并在需要时启动该exe的窗体应用。 首先,让我们深入理解每个组件: 1. **WinForm**: WinForm是.NET Framework提供的一种...
[提权] 使用 ShellCode 注入其他进程
LYSM
11-27 1016
背景 如果将shellcode注入到具有特定权限进程中,使用 ShellCode 创建的进程就可以获得与该进程相同的权限。 本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LyShark/p/12960816.html 提权降权工具下载地址: https://www.blib.cn/soft/pexec.zip 枚举系统进程,与进程权限令牌等。 #include <stdio.h> #include <Windows.h> #inc
C++使用system创建进程
实践求真知
03-31 2097
一点睛 system的原型如下, 其作用是运行以字符串参数的形式传递给它的命令并等待该命令的完成。其作用等价于在shell中执行命令sh -c string。 #include <stdlib.h> int system(const char *string); 二代码 #include <stdlib.h> #include <stdio.h>...
在SYSTEM权限下创建用户进程方法
edger2heaven的专栏
04-06 653
1、runas,优点系统自带,缺点要交互。 2、lsrunas ,可以一次完成。 3、nircmd,功能丰富强大,缺点有时会被杀软查杀。 4、计划任务schtasks,优点系统自带。 5、psexec,新版本会蹦框提示,需要先运行命令加入注册表或运行时加-accepteula选项。 ......
C++ 启动一个进程
sz76211822的专栏
09-26 3354
BOOL CTAllWatchDlg::WakeupProc(const WCHAR* strFilepath) { STARTUPINFO StartInfo; PROCESS_INFORMATION procStruct; memset(&StartInfo, 0, sizeof(STARTUPINFO)); StartInfo.cb = sizeof(STARTUPINFO);
在C++ Windows服务中,CreateProcessAsUser函数来启动另一个进程,怎样指定Local System权限
06-03
在C++ Windows服务中,使用CreateProcessAsUser函数启动另一个进程,并指定Local System权限,可以通过以下步骤实现: 1. 获取Local System用户的访问令牌。使用OpenProcessToken函数获取当前进程的访问令牌,然后使用DuplicateTokenEx函数创建一个访问令牌的副本。在DuplicateTokenEx函数中指定TokenPrimary参数,以便创建一个主访问令牌,这样后续可以使用该访问令牌来启动进程。 ```c++ HANDLE hToken = NULL; if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken)) { // 获取当前进程的访问令牌失败 // TODO:处理错误 return; } HANDLE hTokenDup = NULL; if (!DuplicateTokenEx(hToken, TOKEN_ALL_ACCESS, NULL, SecurityImpersonation, TokenPrimary, &hTokenDup)) { // 创建访问令牌的副本失败 // TODO:处理错误 CloseHandle(hToken); return; } CloseHandle(hToken); ``` 2. 设置访问令牌的安全属性。使用SetTokenInformation函数设置TOKEN_MANDATORY_LABEL信息,以便指定访问令牌的安全属性。 ```c++ // 设置SDDL字符串,表示为Local System用户创建一个低完整性级别的安全标签 LPCTSTR szSDDL = _T("S-1-16-4096"); PSECURITY_DESCRIPTOR pSD = NULL; if (!ConvertStringSecurityDescriptorToSecurityDescriptor(szSDDL, SDDL_REVISION_1, &pSD, NULL)) { // 转换SDDL字符串为安全描述符失败 // TODO:处理错误 CloseHandle(hTokenDup); return; } TOKEN_MANDATORY_LABEL tml = { 0 }; tml.Label.Attributes = SE_GROUP_INTEGRITY; tml.Label.Sid = NULL; if (!ConvertStringSidToSid(szSDDL, &(tml.Label.Sid))) { // 转换SDDL字符串为SID失败 // TODO:处理错误 CloseHandle(hTokenDup); LocalFree(pSD); return; } if (!SetTokenInformation(hTokenDup, TokenIntegrityLevel, &tml, sizeof(TOKEN_MANDATORY_LABEL) + GetLengthSid(tml.Label.Sid))) { // 设置访问令牌的安全属性失败 // TODO:处理错误 CloseHandle(hTokenDup); LocalFree(pSD); return; } LocalFree(pSD); ``` 3. 使用CreateProcessAsUser函数创建一个新进程,并使用访问令牌的副本来启动进程。在CreateProcessAsUser函数中指定CREATE_NEW_CONSOLE标志,以便在新控制台窗口中启动进程。 ```c++ STARTUPINFO si = { 0 }; si.cb = sizeof(si); si.lpDesktop = _T("winsta0\\default"); PROCESS_INFORMATION pi = { 0 }; if (!CreateProcessAsUser(hTokenDup, NULL, _T("cmd.exe"), NULL, NULL, TRUE, CREATE_NEW_CONSOLE, NULL, NULL, &si, &pi)) { // 使用访问令牌启动进程失败 // TODO:处理错误 CloseHandle(hTokenDup); return; } ``` 4. 关闭访问令牌的副本和新进程的句柄。 ```c++ CloseHandle(pi.hThread); CloseHandle(pi.hProcess); CloseHandle(hTokenDup); ``` 希望这些步骤能够帮助您在C++ Windows服务中使用CreateProcessAsUser函数启动另一个进程,并指定Local System权限
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值