saiksy

記錄生活中的點點滴滴

C++博客

管理

13 Posts :: 0 Stories :: 1 Comments :: 0 Trackbacks

常用鏈接

留言簿

隨筆分類

隨筆檔案

收藏夾

其他博友

搜索

閱讀排行榜

評論排行榜

<轉(zhuǎn)帖>一句代碼提升進程權(quán)限

RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE,1,0,NULL);

這個函數(shù)封裝在NtDll.dll中（在所有DLL加載之前加載），被微軟嚴(yán)格保密，就是說你在MSDN上查不到關(guān)于他的任何信息。

.常量 SE_BACKUP_PRIVILEGE, "17", 公開

.常量 SE_RESTORE_PRIVILEGE, "18", 公開

.常量 SE_SHUTDOWN_PRIVILEGE, "19", 公開

.常量 SE_DEBUG_PRIVILEGE, "20", 公開

先來看看這個函數(shù)的定義(Winehq給出)：

NTSTATUS RtlAdjustPrivilege

(

ULONG Privilege,

BOOLEAN Enable,

BOOLEAN CurrentThread,

PBOOLEAN Enabled

)

參數(shù)的含義：

Privilege [In] Privilege index to change.

// 所需要的權(quán)限名稱，可以到MSDN查找關(guān)于Process Token & Privilege內(nèi)容可以查到

Enable [In] If TRUE, then enable the privilege otherwise disable.

// 如果為True 就是打開相應(yīng)權(quán)限，如果為False 則是關(guān)閉相應(yīng)權(quán)限

CurrentThread [In] If TRUE, then enable in calling thread, otherwise process.

// 如果為True 則僅提升當(dāng)前線程權(quán)限，否則提升整個進程的權(quán)限

Enabled [Out] Whether privilege was previously enabled or disabled.

// 輸出原來相應(yīng)權(quán)限的狀態(tài)（打開 | 關(guān)閉）

很多人大概沒有聽說過他的大名，但是相信有很多人見過進程提權(quán)的過程

拷一段我寫的提權(quán)上來吧

BOOL ImproveProcPriv()

{

HANDLE token;

//提升權(quán)限

if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&token))

{

MessageBox(NULL,"打開進程令牌失敗

","錯誤",MB_ICONSTOP);

return FALSE;

}

TOKEN_PRIVILEGES tkp;

tkp.PrivilegeCount = 1;

::LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&tkp.Privileges[0].Luid);

tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

if(!AdjustTokenPrivileges(token,FALSE,&tkp,sizeof(tkp),NULL,NULL))

{

MessageBox(NULL,"調(diào)整令牌權(quán)限失敗

","錯誤",MB_ICONSTOP);

return FALSE;

}

CloseHandle(token);

return TRUE;

}

看看吧，這個提權(quán)快要累死了

但是如果有這個函數(shù)就不一樣了，你可以只用一個函數(shù)就實現(xiàn)這個功能，甚至功能遠多于上面的代碼

通過恰當(dāng)?shù)腎DE設(shè)置和必要的Defination，上面這個函數(shù)的功能你完全可以通過一行代碼來實現(xiàn)。

RtlAdjustPrivilege(SE_DEBUG_NAME,1,0,NULL);

正文：

下面我們看一下這個函數(shù)是怎么運行的，順便學(xué)習(xí)下強大的IDA

IDA 載入ntdll.dll （我這里載入的是 WinDBG自動下載的 Symbol里面的英文版本可能不同的Windows版本略有不同）

先把函數(shù)的原型給輸入IDA 方便一下閱讀，然后開始閱讀匯編代碼了（黨和國家考驗我們的時候到了）。

看看Graph View 真的是很牛啊

看看函數(shù)最開頭

mov edi, edi ; 這句話是廢指令

push ebp

mov ebp, esp

sub esp, 30h ; 48個字節(jié)的子過程域Auto變量

cmp [ebp+CurrentThread], 1 ; 判斷CurrentThread參數(shù)是否被指定為1

mov eax, dword_7C97B0C8

mov [ebp+var_4], eax

mov eax, [ebp+Enabled]

mov [ebp+IsEnabled], eax ; BOOL *IsEnabled = Enabled;

lea eax, [ebp+var_28]

push eax

jz loc_7C93378B

判斷是調(diào)整進程權(quán)限還是線程權(quán)限，

CurrentThread == TRUE

push 0

push 28h ; TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY

push 0FFFFFFFEh ; GetCurrentThread()

call ZwOpenThreadToken

jmp loc_7C929A7A

CurrentThread == FALSE

push 28h ; TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY

push 0FFFFFFFFh ; GetCurrentProcess()

call NtOpenProcessToken

然后兩個代碼塊同時指向這里

loc_7C929A7A: ; 很明白了吧判斷進程/線程令牌是否成功被打開

test eax, eax

jl short loc_7C929AE4 ; 沒成功則跳

若執(zhí)行成功

mov eax, [ebp+Privilege]

mov [ebp+dwPrivilege], eax

mov al, [ebp+Enable]

xor ecx, ecx ; ecx清零

neg al

push esi

mov [ebp+NewState], 1

mov [ebp+var_C], ecx

sbb eax, eax

and eax, 2

mov [ebp+var_8], eax

lea eax, [ebp+ReturnLength] ; 實際返回長度

push eax

lea eax, [ebp+OldState]

push eax ; 舊的特權(quán) 指針

push 10h ; sizeof(TOKEN_PRIVILEGES)

lea eax, [ebp+NewState]

push eax ; 新的特權(quán) 指針

push ecx ; FALSE 因為上面有xor ecx,ecx

push [ebp+TokenHandle]

call NtAdjustPrivilegesToken ; 調(diào)用 AdjustPrivilegesToken提權(quán)

push [ebp+TokenHandle]

mov esi, eax ; eax備份

call ZwClose ; 關(guān)閉內(nèi)核對象句柄

cmp esi, 106h ; 判斷NtAdjustPrivilege執(zhí)行情況 106h = STATUS_NOT_ALL_ASSIGNED

jz loc_7C947DF2

判斷是否執(zhí)行成功之后，開始輸出最后一個參數(shù)

cmp [ebp+OldState], 0

mov ecx, [ebp+IsEnabled]

jnz loc_7C929E99

若 OldState != 0 則

mov al, [ebp+Enable] ; 應(yīng)該很明顯了把Enable變量賦給al 也就是eax最后兩位

若 OldState == 0 則

mov eax, [ebp+var_18]

shr eax, 1

and al, 1

jmp loc_7C929ADF

這個函數(shù)大致流程就是這樣。

到這里差不多可以按一下傳說中的F5了

int __stdcall RtlAdjustPrivilege(int Privilege, char Enable, char CurrentThread, int Enabled)

{

int result; // eax@2

signed int AdjustResult; // esi@4

char returnValue; // al@7

int v7; // [sp+2Ch] [bp-4h]@1

int IsEnabled; // [sp+4h] [bp-2Ch]@1

int TokenHandle; // [sp+8h] [bp-28h]@2

int dwPrivilege; // [sp+20h] [bp-10h]@4

signed int NewState; // [sp+1Ch] [bp-14h]@4

int v12; // [sp+24h] [bp-Ch]@4

int v13; // [sp+28h] [bp-8h]@4

int OldState; // [sp+Ch] [bp-24h]@4

char ReturnLength; // [sp+0h] [bp-30h]@4

unsigned int v16; // [sp+18h] [bp-18h]@11

v7 = dword_7C97B0C8;

IsEnabled = Enabled;

if ( CurrentThread == 1 )

result = ZwOpenThreadToken(-2, 40, 0, &TokenHandle);

else

result = NtOpenProcessToken(-1, 40, &TokenHandle);

if ( result >= 0 )

{

dwPrivilege = Privilege;

NewState = 1;

v12 = 0;

v13 = -(Enable != 0) & 2;

AdjustResult = NtAdjustPrivilegesToken(TokenHandle, 0, &NewState, 16, &OldState, &ReturnLength);

ZwClose(TokenHandle);

if ( AdjustResult == 262 )

AdjustResult = -1073741727;

if ( AdjustResult >= 0 )

{

if ( OldState )

returnValue = (v16 >> 1) & 1;

else

returnValue = Enable;

*(_BYTE *)IsEnabled = returnValue;

}

result = AdjustResult;

}

return result;

}

可讀性好像仍然不高，看看這個

/******************************************************************************

* RtlAdjustPrivilege [NTDLL.@]

*

* Enables or disables a privilege from the calling thread or process.

*

* PARAMS

* Privilege [I] Privilege index to change.

* Enable [I] If TRUE, then enable the privilege otherwise disable.

* CurrentThread [I] If TRUE, then enable in calling thread, otherwise process.

* Enabled [O] Whether privilege was previously enabled or disabled.

*

* RETURNS

* Success: STATUS_SUCCESS.

* Failure: NTSTATUS code.

*

* SEE ALSO

* NtAdjustPrivilegesToken, NtOpenThreadToken, NtOpenProcessToken.

*

*/

NTSTATUS WINAPI

RtlAdjustPrivilege(ULONG Privilege,

BOOLEAN Enable,

BOOLEAN CurrentThread,

PBOOLEAN Enabled)

{

TOKEN_PRIVILEGES NewState;

TOKEN_PRIVILEGES OldState;

ULONG ReturnLength;

HANDLE TokenHandle;

NTSTATUS Status;

TRACE("(%d, %s, %s, %p)\n", Privilege, Enable ? "TRUE" : "FALSE",

CurrentThread ? "TRUE" : "FALSE", Enabled);

if (CurrentThread)

{

Status = NtOpenThreadToken(GetCurrentThread(),

TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,

FALSE,

&TokenHandle);

}

else

{

Status = NtOpenProcessToken(GetCurrentProcess(),

TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,

&TokenHandle);

}

if (!NT_SUCCESS(Status))

{

WARN("Retrieving token handle failed (Status %x)\n", Status);

return Status;

}

OldState.PrivilegeCount = 1;

NewState.PrivilegeCount = 1;

NewState.Privileges[0].Luid.LowPart = Privilege;

NewState.Privileges[0].Luid.HighPart = 0;

NewState.Privileges[0].Attributes = (Enable) ? SE_PRIVILEGE_ENABLED : 0;

Status = NtAdjustPrivilegesToken(TokenHandle,

FALSE,

&NewState,

sizeof(TOKEN_PRIVILEGES),

&OldState,

&ReturnLength);

NtClose (TokenHandle);

if (Status == STATUS_NOT_ALL_ASSIGNED)

{

TRACE("Failed to assign all privileges\n");

return STATUS_PRIVILEGE_NOT_HELD;

}

if (!NT_SUCCESS(Status))

{

WARN("NtAdjustPrivilegesToken() failed (Status %x)\n", Status);

return Status;

}

if (OldState.PrivilegeCount == 0)

*Enabled = Enable;

else

*Enabled = (OldState.Privileges[0].Attributes & SE_PRIVILEGE_ENABLED);

return STATUS_SUCCESS;

}

posted on 2011-05-08 17:22 saiksy 閱讀(776) 評論(0) 編輯收藏引用所屬分類: 技術(shù)雜項

只有注冊用戶登錄后才能發(fā)表評論。


相關(guān)文章: VC2008常用快捷鍵 <轉(zhuǎn)帖>一句代碼提升進程權(quán)限創(chuàng)建Console并重定向printf

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

saiksy

常用鏈接

留言簿

隨筆分類

隨筆檔案

收藏夾

其他博友

搜索

最新評論

閱讀排行榜

評論排行榜