System权限下进程遇到的问题以及如何降权启动进程

最新推荐文章于 2024-06-06 16:03:39 发布
最新推荐文章于 2024-06-06 16:03:39 发布
阅读量8.9k 收藏 20
点赞数
分类专栏: Windows 文章标签: system 权限 启动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yockie/article/details/46446047
版权

一. 背景

最近项目上踩到一个坑,即偶现升级过程中通过计划任务调起新安装包,程序安装到了错误的地方,并且桌面快捷方式等入口均没有生成,总而言之就是一个“自杀”行为。

二. 原因

通过测试发现原因:在有些情况下,通过计划任务(通过服务也是如此)调起的进程是system权限的。而在system权限下进程可能会遇到很多问题:

  1. 通过注册表或expand 环境变量等方法得到的系统目录并不是我们想要的,例如通过SHGetSpecialFolderPath获取CSIDL_LOCAL_APPDATA的路径为C:\windows\system32\config\systemprofile\appdata\local;通过GetEnvironmentVariable获取TMP的路径为C:\Windows\TEMP等;这一类的目录包括且不限于:desktop, paograms, appdata, etc..
  2. 具有system权限的进程创建的子进程也是具有system权限的,这样子进程也会遇到上面第1点的问题
  3. GetEnvironmentVariable函数获取到的环境变量都是SYSTEM用户的
  4. 对HKEY_CURRENT_USER的部分注册表的写操作将会被重定向到HKEY_USERS.DEFAULT

三. 解决过程:

1. 解决目录问题

step1.如何判断是在system下

正常的方法当然是通过通过权限相关的API来判断,当然也可以有一些小技巧来判断。例如上面说到的通过SHGetSpecialFolderPath获取CSIDL_LOCAL_APPDATA的路径,非system权限下为C:\Users\username\AppData\Local,而在system下为C:\windows\system32\config\systemprofile\appdata\local。因此,代码如下:

bool IsSystemPrivilegeImp()
{
    static bool isSystemPrivilege = false;
    if (isSystemPrivilege)
    {
        return isSystemPrivilege;
    }

    char szPath[MAX_PATH] = {0};
    if (::SHGetSpecialFolderPathA(NULL, szPath, CSIDL_APPDATA, TRUE))
    {
        std::string flag("config\\systemprofile");
        std::string path(szPath);
        if (path.find(flag) != std::string::npos)
        {
            isSystemPrivilege = true;
        }
    }

    return isSystemPrivilege;
}

step2. 模拟当前登陆用户

想要获取的正确的目录,需要模拟当前登陆用户,获取登录用户的token,再调用SHGetSpecialFolderPath传入此token来获取。另外通过此token,还可以通过CreateProcessAsUser来创建登录用户权限的进程,这点下文再详述。

// 若执行成功,传出获取的token
bool ImpersonateLoggedOnUserWrapper(HANDLE& hToken)
{
    DWORD dwConsoleSessionId = WTSGetActiveConsoleSessionId();
    if (WTSQueryUserToken(dwConsoleSessionId, &hToken))
    {
        if (ImpersonateLoggedOnUser(hToken))
        {
            return true;
        }
    }
    return false;
}

step3. 获取正确的目录

通过上面获取的token传入SHGetSpecialFolderPath来获取CSIDL_LOCAL_APPDATA等正确的路径。网上资料说这个函数有时会失败,GetLastError返回5。而Windows提供的另外一个API叫做SHGetFolderPath,是可以正常获取路径的,因此我们使用后面这个API。

BOOL WINAPI SHGetSpecialFolderPathWrapper(
    HWND hwnd,
    LPWSTR lpszPath,
    int csidl,
    BOOL fCreate
    )
{
    BOOL ret = FALSE;
    do 
    {
        if (false == IsSystemPrivilegeImp())
        {
            if (SHGetSpecialFolderPath(hwnd, lpszPath, csidl, fCreate))
            {
                ret = TRUE;
                break;
            }
        }

        HANDLE hToken = NULL;
        if (false == ImpersonateLoggedOnUserWrapper(hToken))
        {
            break;
        }

        if (S_OK == SHGetFolderPath(NULL, csidl, hToken, SHGFP_TYPE_DEFAULT, lpszPath))
        {
            ret = TRUE;

            //使用完毕之后通过调用RevertToSelf取消模拟
            RevertToSelf();

            break;
        }

    } while (0);

    return ret;
}

2. 如何降权启动进程

我们的安装包中会创建很多子进程处理不同任务,而由于这些程序之前在编写代码过程中从没有考虑到system权限的问题,因此改动将会比较麻烦。因此我们的思路是:

在安装包被调起后,立即判断当前是否是system权限,如果是system权限,则以普通管理员用户的权限重新把自己调起,同时本身退出。这种方法改动相对就很少了。

话不多说,上代码:

#define TokenLinkedToken 19


DWORD GetActiveSessionID()
{

    DWORD dwSessionId = 0;
    PWTS_SESSION_INFO pSessionInfo = NULL;
    DWORD dwCount = 0;

    WTSEnumerateSessions(WTS_CURRENT_SERVER_HANDLE, 0, 1, &pSessionInfo, &dwCount);

    for(DWORD i = 0; i < dwCount; i++)
    {
        WTS_SESSION_INFO si = pSessionInfo[i];
        if(WTSActive == si.State)
        {
            dwSessionId = si.SessionId;
            break;
        }
    }

    WTSFreeMemory(pSessionInfo);
    return dwSessionId;

}
BOOL TriggerAppExecute(std::wstring wstrCmdLine/*, INT32& n32ExitResult*/)
{
    DWORD dwProcesses = 0;
    BOOL bResult = FALSE;

    DWORD dwSid = GetActiveSessionID();

    DWORD dwRet = 0;
    PROCESS_INFORMATION pi;
    STARTUPINFO si;
    HANDLE hProcess = NULL, hPToken = NULL, hUserTokenDup = NULL;
    if (!WTSQueryUserToken(dwSid, &hPToken))
    {
        PROCESSENTRY32 procEntry;
        DWORD dwPid = 0;
        HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
        if (hSnap == INVALID_HANDLE_VALUE)
        {
            return FALSE;
        }

        procEntry.dwSize = sizeof(PROCESSENTRY32);
        if (Process32First(hSnap, &procEntry))
        {
            do
            {
                if (_tcsicmp(procEntry.szExeFile, _T("explorer.exe")) == 0)
                {
                    DWORD exeSessionId = 0;
                    if (ProcessIdToSessionId(procEntry.th32ProcessID, &exeSessionId) && exeSessionId == dwSid)
                    {
                        dwPid = procEntry.th32ProcessID;
                        break;
                    }
                }

            } while (Process32Next(hSnap, &procEntry));
        }
        CloseHandle(hSnap);

        // explorer进程不存在
        if (dwPid == 0)
        {
            return FALSE;
        }

        hProcess = ::OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, dwPid);
        if (hProcess == NULL)
        {
            return FALSE;
        }

        if(!::OpenProcessToken(hProcess, TOKEN_ALL_ACCESS_P,&hPToken))
        {
            CloseHandle(hProcess);
            return FALSE;
        }
    }

    if (hPToken == NULL)
        return FALSE;

    TOKEN_LINKED_TOKEN admin;
    bResult = GetTokenInformation(hPToken, (TOKEN_INFORMATION_CLASS)TokenLinkedToken, &admin, sizeof(TOKEN_LINKED_TOKEN), &dwRet);

    if (!bResult) // vista 以前版本不支持TokenLinkedToken
    {
        TOKEN_PRIVILEGES tp;
        LUID luid;
        if (LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&luid))
        {
            tp.PrivilegeCount =1;
            tp.Privileges[0].Luid =luid;
            tp.Privileges[0].Attributes =SE_PRIVILEGE_ENABLED;
        }
        //复制token
 DuplicateTokenEx(hPToken,MAXIMUM_ALLOWED,NULL,SecurityIdentification,TokenPrimary,&hUserTokenDup);
    }
    else
    {
        hUserTokenDup = admin.LinkedToken;
    }

    LPVOID pEnv =NULL;
    DWORD dwCreationFlags = CREATE_PRESERVE_CODE_AUTHZ_LEVEL;

    // hUserTokenDup为当前登陆用户的令牌
    if(CreateEnvironmentBlock(&pEnv,hUserTokenDup,TRUE))
    {
        //如果传递了环境变量参数,CreateProcessAsUser的
        //dwCreationFlags参数需要加上CREATE_UNICODE_ENVIRONMENT,
        //这是MSDN明确说明的
        dwCreationFlags|=CREATE_UNICODE_ENVIRONMENT;
    }
    else
    {
        //环境变量创建失败仍然可以创建进程,
        //但会影响到后面的进程获取环境变量内容
        pEnv = NULL;
    }

    ZeroMemory( &si, sizeof(si) );
    si.cb = sizeof(si);
    si.dwFlags = STARTF_USESHOWWINDOW;
    si.wShowWindow = SW_HIDE;
    ZeroMemory( &pi, sizeof(pi) );

    bResult = CreateProcessAsUser(
        hUserTokenDup,                     // client's access token
        NULL,    // file to execute
        (LPTSTR) wstrCmdLine.c_str(),                 // command line
        NULL,            // pointer to process SECURITY_ATTRIBUTES
        NULL,               // pointer to thread SECURITY_ATTRIBUTES
        FALSE,              // handles are not inheritable
        dwCreationFlags,     // creation flags
        pEnv,               // pointer to new environment block
        NULL,               // name of current directory
        &si,               // pointer to STARTUPINFO structure
        &pi                // receives information about new process
        );  


    if(pi.hProcess)
    {
        CloseHandle(pi.hThread);
        CloseHandle(pi.hProcess);
    }

    if (hUserTokenDup != NULL)
        CloseHandle(hUserTokenDup);
    if (hProcess != NULL)
        CloseHandle(hProcess);
    if (hPToken != NULL)
        CloseHandle(hPToken);
    if (pEnv != NULL)
        DestroyEnvironmentBlock(pEnv);

    return TRUE;
}

【参考资料:
1.SYSTEM权限引发的系列问题
2.模拟Windows登录用户进行特殊操作
3.穿透Session 0 隔离
4.MSDN-CSIDL

华秋实
关注
  • 0
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
简单使用系统System(超级管理员)权限运行进程-提权
不蚌埠!
08-12 5640
通过令牌窃取winlogon和lsass来启动进程获得超级管理员权限
【两份源码】SYSTEM权限启动进程
08-06
6. **注册表键值**:某些情况下,可以修改注册表键值以确保进程以SYSTEM权限启动。例如,修改`HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell`键,但这种方法非常敏感,应谨慎...
Windows 进程权限浅谈 -- 提权 / 降权
0x0007 的博客
03-24 1725
在 Windows 上,用户对权限并不敏感,可能最为直观的是 UAC ,但相信很多人已经关掉了它的提示。但其实安全性早已深入了 Windows 的方方面面。Windows Vista 引入了一个称为强制完整性控制()的新安全结构,类似于 Linux/Unix 中可用的完整性功能。在 Windows Vista 以及后续版本如Windows 11/10和Windows 8/7中,所有安全主体(用户、计算机、服务等)和对象(文件、注册表键、文件夹和资源)都被赋予MIC标签。
权限提升分析
weixin_45007073的博客
05-07 223
权限的种类 User:普通用户权限,是系统中最安全的权限 Administrator:管理员权限。可以利用Windows的机制将自己提升为System权限,以便操作SAM文件 System:系统权限。可以对SAM等敏感文件进行读取,往往需要将Administrator权限提升到System权限才可以对散列值进行Dump操作 TrustedInstaller:Windows中的最高权限。对系统文件,即使拥有System权限也无法进行修改。只有拥有TrustedInstaller权限的用户才可以修改系统文件
程序中如何安全的使用system来执行程序
最新发布
科技工作者的博客
06-06 235
system()会调用fork()产生子进程,复制进程映像(fork函数), 由子进程来调用/bin/sh-c string来执行参数string字符串所代表的命令,此命令执行完后随即返回原调用的进程。系统调用(System Call)是操作系统提供的一组功能接口,给应用程序实现一系列高权限的功能服务。系统调用一般是实现整个计算机的核心资源的访问和管理功能。所以,system直接会复制父进程的空间,这样在使用中,可能会因为资源问题,导致程序异常,特别是频繁调用system,会出现较高的概率异常。
降权,使用admin权限
阳光小飞鱼's Blog
09-17 959
#define UNICODE #define _WIN32_WINNT 0x0500 #include #include #include #pragma comment (lib,"userenv.lib") #pragma comment (lib,"advapi32.lib") void DisplayError(LPWSTR pszAPI) {     LPVOID lpv
在SYSTEM权限下创建用户进程方法
edger2heaven的专栏
04-06 638
1、runas,优点系统自带,缺点要交互。 2、lsrunas ,可以一次完成。 3、nircmd,功能丰富强大,缺点有时会被杀软查杀。 4、计划任务schtasks,优点系统自带。 5、psexec,新版本会蹦框提示,需要先运行命令加入注册表或运行时加-accepteula选项。 ......
System权限下获取路径以及使用用户权限启动进程
technologyleader的专栏
07-02 4294
一. 背景 最近项目上踩到一个坑,即偶现升级过程中通过计划任务调起新安装包,程序安装到了错误的地方,并且桌面快捷方式等入口均没有生成,总而言之就是一个“自杀”行为。 二. 原因 通过测试发现原因:在有些情况下,通过计划任务(通过服务也是如此)调起的进程是system权限的。而在system权限进程可能会遇到很多问题: 通过注册表或expand 环境变量等方法得到的系统目录并不是我们想要...
windows以system权限启动进程
Bpazy的博客
05-26 4701
以管理员身份启动CMD,使用以下命令即可以system权限启动对应进程: PsExec -i -s -d taskmgr PsExec可在SysinternalsSuite工具包中找到,链接:https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite。 ...
winfrom Windows服务监控exe进程启动exe窗体应用程序
08-14
本话题关注的是如何通过C#编程,让一个WinForm应用程序(Windows服务)监控另一个exe进程,并在需要时启动该exe的窗体应用。 首先,让我们深入理解每个组件: 1. **WinForm**: WinForm是.NET Framework提供的一种...
C#提升进程/程序权限
10-04
这会在生成的清单文件(.manifest)中添加对应条目,确保应用程序启动时会请求管理员权限。 2. **使用PrincipalPermissionAttribute**:在方法或类上使用这个特性可以要求特定的权限。例如,如果需要管理员权限,...
system权限进程以user权限调用进程
12-11
"system权限进程以user权限调用进程"这个主题涉及到了Windows权限模型、进程创建以及WinAPI函数的使用。让我们深入探讨一下这些概念。 首先,Windows权限模型基于用户账户控制(User Account Control, UAC),它将...
windows下的 Nsudo提权工具,支持system权限
02-05
【标题】:Windows下的Nsudo提权工具,支持System权限 在Windows操作系统中,权限管理是安全模型的重要组成部分。默认情况下,用户账户通常只拥有有限的权限,以防止无意或恶意的操作导致系统不稳定。然而,在某些...
【总结】用户权限设置和进程权限提升
热门推荐
华秋实的专栏
11-29 2万+
使用某些Windows API的时候需要提升进程的默认权限,例如RegRestoreKey需要SE_RESTORE_NAME 和SE_BACKUP_NAME 权限。在这种情况下,我们需要使用到一组Windows API提升进程权限。需要的函数有: 1.OpenProcessToken 2.LookupPrivilegeValue 3.AdjustTokenPrivileges 使用
vs2010自动展开选中当前代码所在的文件位置的功能
华秋实的专栏
09-16 1万+
这个功能相当h tool>>options>>projects and solutions>> track active item in solution explorer>>OK 保存即可
windbg检测句柄泄露(定位到具体代码)
华秋实的专栏
10-30 1万+
1.构造一个测试用例
MSBulid、IncrediBuild命令行接口实现自动化编译
华秋实的专栏
11-28 1万+
一、MSBuild.exe实现自动化编译         .net Framework 提供的 MSBuild 工具可以方便我们在没有安装 Visual Studio 2005 的系统中编译项目解决方案,当然还可以与用相关工具组合进行 DailyBuild。 先看一个例子,在解决方案目录(Test.sln)命令行输入下面的命令,将会自动编译解决方案。 MSBuild.exe Test.s
Windows API了解用户是否在使用鼠标或键盘
华秋实的专栏
07-21 1万+
《编程之美》1.10的最后提到了一个问题,就是windows中什么api能了解用户是否在使用鼠标或键盘,或者发现用户在几秒之内没有鼠标、键盘的输入? 网上搜索了一下资料,觉得大概有两种方法: (1)GetInputState 函数原型: BOOL GetInputState(VOID); 函数功能:该函数确定在当前线程的消息队列中是否有要处理的鼠标,键盘消息. 注意事项:返回值指定是否发
在C++ Windows服务中,CreateProcessAsUser函数来启动另一个进程,怎样指定Local System权限
06-03
在C++ Windows服务中,使用CreateProcessAsUser函数启动另一个进程,并指定Local System权限,可以通过以下步骤实现: 1. 获取Local System用户的访问令牌。使用OpenProcessToken函数获取当前进程的访问令牌,然后使用DuplicateTokenEx函数创建一个访问令牌的副本。在DuplicateTokenEx函数中指定TokenPrimary参数,以便创建一个主访问令牌,这样后续可以使用该访问令牌来启动进程。 ```c++ HANDLE hToken = NULL; if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken)) { // 获取当前进程的访问令牌失败 // TODO:处理错误 return; } HANDLE hTokenDup = NULL; if (!DuplicateTokenEx(hToken, TOKEN_ALL_ACCESS, NULL, SecurityImpersonation, TokenPrimary, &hTokenDup)) { // 创建访问令牌的副本失败 // TODO:处理错误 CloseHandle(hToken); return; } CloseHandle(hToken); ``` 2. 设置访问令牌的安全属性。使用SetTokenInformation函数设置TOKEN_MANDATORY_LABEL信息,以便指定访问令牌的安全属性。 ```c++ // 设置SDDL字符串,表示为Local System用户创建一个低完整性级别的安全标签 LPCTSTR szSDDL = _T("S-1-16-4096"); PSECURITY_DESCRIPTOR pSD = NULL; if (!ConvertStringSecurityDescriptorToSecurityDescriptor(szSDDL, SDDL_REVISION_1, &pSD, NULL)) { // 转换SDDL字符串为安全描述符失败 // TODO:处理错误 CloseHandle(hTokenDup); return; } TOKEN_MANDATORY_LABEL tml = { 0 }; tml.Label.Attributes = SE_GROUP_INTEGRITY; tml.Label.Sid = NULL; if (!ConvertStringSidToSid(szSDDL, &(tml.Label.Sid))) { // 转换SDDL字符串为SID失败 // TODO:处理错误 CloseHandle(hTokenDup); LocalFree(pSD); return; } if (!SetTokenInformation(hTokenDup, TokenIntegrityLevel, &tml, sizeof(TOKEN_MANDATORY_LABEL) + GetLengthSid(tml.Label.Sid))) { // 设置访问令牌的安全属性失败 // TODO:处理错误 CloseHandle(hTokenDup); LocalFree(pSD); return; } LocalFree(pSD); ``` 3. 使用CreateProcessAsUser函数创建一个新进程,并使用访问令牌的副本来启动进程。在CreateProcessAsUser函数中指定CREATE_NEW_CONSOLE标志,以便在新控制台窗口中启动进程。 ```c++ STARTUPINFO si = { 0 }; si.cb = sizeof(si); si.lpDesktop = _T("winsta0\\default"); PROCESS_INFORMATION pi = { 0 }; if (!CreateProcessAsUser(hTokenDup, NULL, _T("cmd.exe"), NULL, NULL, TRUE, CREATE_NEW_CONSOLE, NULL, NULL, &si, &pi)) { // 使用访问令牌启动进程失败 // TODO:处理错误 CloseHandle(hTokenDup); return; } ``` 4. 关闭访问令牌的副本和新进程的句柄。 ```c++ CloseHandle(pi.hThread); CloseHandle(pi.hProcess); CloseHandle(hTokenDup); ``` 希望这些步骤能够帮助您在C++ Windows服务中使用CreateProcessAsUser函数启动另一个进程,并指定Local System权限
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值