[原创]一个为Process取得SYSTEM令牌的简单方法-阿里云开发者社区

开发者社区> 大熊猫侯佩> 正文

[原创]一个为Process取得SYSTEM令牌的简单方法

简介:
+关注继续查看

一个为Process取得SYSTEM令牌的简单方法

(测试平台:windows XP sp2)

 

 

        我们知道NT平台本地最高权限用户是SYSTEM,如果以SYSTEM用户打开

regedit.exe,就可以看到SAM目录下的内容,而用administrator用户却不能(除

非通过手动赋予)。那么如何创建一个带有SYSTEM Token的进程呢?

        我采用的方法参考了一些技术文章,只是简单的Hook Windows原生API :

NtCreateProcessEx ,更改其第4个参数HANDLE : ParentProcess 即可。

下面是大致的思路:

0 取得 NtCreateProcessEx 的 address

1 放置 Hook 陷阱

2 为进程取得SE_DEBUG_NAME权限,如果不这样做就会有一个

  有趣的现象:用调试器运行时一切正常,但是单独运行时就会失败。

3 用普通CreateProcess运行regedit.exe

4 进入事先设置的 Hook 陷阱,更改ParentProcess 为任意SYSTEM进程

  的Handle,然后恢复原先代码,重新进入。(这个技术我在以前ring0级的

  内核代码中也采用了,可是调试的时候差点累死,^o^)

5 一个带 SYSTEM Token 的 regedit.exe 出炉啦!^o^

以下是部分源代码:

 

;*********************************************
;**           code by hopy | 侯佩           **
;*********************************************

.386
.model flat,stdcall
option casemap:none

include /masm32/include/windows.inc
include /masm32/include/kernel32.inc
include /masm32/include/user32.inc
include /masm32/include/advapi32.inc
includelib /masm32/lib/kernel32.lib
includelib /masm32/lib/user32.lib
includelib /masm32/lib/advapi32.lib

 .const
szexe  db  'regedit.exe',0
szdll  db  'ntdll.dll',0
szfuc  db  'NtCreateProcessEx',0
pid  dd  540
SE_DEBUG_NAME0  db   'SeDebugPrivilege',0

_NtCreateProcessEx typedef proto :dword,:dword,:dword,/
     :dword,:dword,:dword,/
     :dword,:dword,:dword
lpNtCreateProcessEx typedef ptr _NtCreateProcessEx   

 .data?
ph   HANDLE   ?
NtCreateProcessEx lpNtCreateProcessEx ?
suinfo   STARTUPINFO  <?>
proc_info  PROCESS_INFORMATION <?>
oldprotect  dword   ?
lphookcode  dword   ?
oldcode   db 6  dup(?)

 .code
;***************************************************************
start: 
 jmp init

hookcode:
 
 pushad
 mov eax,ph
 mov [esp+30h],eax
 invoke RtlMoveMemory,NtCreateProcessEx,/
  addr oldcode,6

 mov eax,oldprotect
 invoke VirtualProtect,NtCreateProcessEx,16,/
  eax,addr oldprotect
 
 popad
 mov eax,NtCreateProcessEx
 jmp eax 

init:
 invoke LoadLibrary,addr szdll
 invoke GetProcAddress,eax,addr szfuc
 mov NtCreateProcessEx,eax

 invoke EnableDebugPrivilege,TRUE

 invoke RtlMoveMemory,addr oldcode,/
  NtCreateProcessEx,6

 invoke VirtualProtect,NtCreateProcessEx,16,/
  PAGE_READWRITE,addr oldprotect

 mov lphookcode,offset hookcode

 mov edi,NtCreateProcessEx
 mov word ptr ds:[edi],025ffh
 mov ds:[edi+2],offset lphookcode
  
 invoke OpenProcess,PROCESS_ALL_ACCESS,FALSE,pid
 mov ph,eax

 invoke CreateProcess,NULL,addr szexe,NULL,NULL,FALSE,/
   NORMAL_PRIORITY_CLASS,NULL,NULL,/
   addr suinfo,addr proc_info

 invoke ExitProcess,NULL
;***************************************************************
end start

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
6863 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
2810 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4426 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7740 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9414 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5421 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
2132 0
+关注
大熊猫侯佩
贪吃贪睡的大熊猫侯佩
689
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载