设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 各种编程语言和开发工具 VC++和C# 以系统权限执行Regedit
返回列表 发新帖
查看: 8942|回复: 8

[开源] 以系统权限执行Regedit

 火.. [复制链接]
diddom

96

主题

158

回帖

4

精华

核心会员

积分
6513
发表于 2012-5-15 04:53:19 | 显示全部楼层 |阅读模式
本帖最后由 diddom 于 2012-5-31 07:33 编辑

虽然这是老掉牙的东西,但是我想对一些新手可能有点帮助

一般我们执行程式的权限大都在管理员

但是当我们需要执行Regedit,想看 SAM

你却发现看不到, 这时我们可以靠正统的方法去实现

执行後就可以看SAM了

[HKEY_LOCAL_MACHINE\SAM\SAM]

叫出工作管理员,你会发现regedit的权限是"SYSTEM"

希望此文能带领你进入权限的入门

SystemPrivilege_20120517.rar (27 KB, 下载次数: 11)

  2. // SystemPrivilege.cpp : Defines the entry point for the console application.
  3. //

  5. #include <windows.h>
  6. #include <stdio.h>
  7. #include <stdlib.h>
  8. #include <psapi.h>
  9. #include <Accctrl.h>
  10. #include <Aclapi.h>

  12. #pragma comment(lib, "PSAPI.LIB")

  14. char strUserName[260];


  17. // [HKEY_LOCAL_MACHINE\SAM\SAM]

  19. BOOL CreateSystemProcess( LPTSTR szProcessName);

  21. BOOL EnablePrivilege()
  22. {
  23.         HANDLE hToken;
  24.         TOKEN_PRIVILEGES tkp;

  26.         if (OpenProcessToken( GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
  27.         {
  28.                 LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &tkp.Privileges[0].Luid );
  29.                 tkp.PrivilegeCount=1;
  30.                 tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
  31.                 AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL );       
  32.                 return( (GetLastError()==ERROR_SUCCESS) );
  33.         }
  34.         return TRUE;
  35. }                               


  38. DWORD GetPidFromProcName(LPCSTR ProcName)
  39. {
  40.         DWORD processid[1024];
  41.         DWORD needed;
  42.         DWORD processcount;
  43.         char path[MAX_PATH] = "";
  44.         HANDLE hProcess;
  45.         HMODULE hModule;

  47.         // getting need buffer size
  48.         EnumProcesses(processid, sizeof(processid), &needed);
  49.         processcount = needed / sizeof(DWORD);
  50.                        
  51.         for (DWORD i=0; i<processcount; i++)
  52.         {       
  53.                 //hProcess = NULL;

  55.                 hProcess = OpenProcess( PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, false, processid[i]);

  57.                 DWORD pp = processid[i];

  59.                 if (hProcess)
  60.                 {
  61.                         EnumProcessModules(hProcess, &hModule, sizeof(hModule), &needed);
  62.                         GetModuleFileNameEx(hProcess, hModule, path, sizeof(path));
  63.                         //GetShortPathName(path,path,256);

  65.                         char *strLwr=strlwr(path);
  66.                         char *pos = strstr(path, ProcName);

  68.                         if (pos > 0) {
  69.                                 CloseHandle(hProcess);
  70.                                 return processid[i];
  71.                         }
  72.                         //itoa(processid[i],temp,10);
  73.                         //printf("%s Pid:%s\n",path,temp);
  74.                 }
  75.                 else
  76.                         printf("GetPidFromProcName() OpenProcess() Failed!!!\n");


  79.                 if (hProcess)
  80.                         CloseHandle(hProcess);

  82.         }

  84.         return NULL;
  85. }




  90. int main(int argc, char* argv[])
  91. {
  92.         BOOL bError;
  93.         HANDLE hProc;
  94.         DWORD dwPid;
  95.         HANDLE hToken;
  96.         DWORD dwSize;

  98.                
  99.         dwSize = 260;

  101.         ZeroMemory(&strUserName, 260);

  103.         if (!GetUserName(strUserName, &dwSize))
  104.         {
  105.                 printf( "GetUserName() = %d\n", GetLastError() );
  106.         }

  108.         //strcpy(strUserName, "ilovevb"); //<<<<<<<< your username

  110.         EnablePrivilege();

  112.         CreateSystemProcess("regedit.exe");


  115.         return 0;
  116. }



  120. BOOL CreateSystemProcess( LPTSTR szProcessName)
  121. {
  122.         char ProcName[] = "lsass.exe";
  123.         HANDLE hProcess;
  124.         HANDLE hToken, hNewToken;
  125.         DWORD dwPid;

  127.         PACL pOldDAcl = NULL;
  128.         PACL pNewDAcl = NULL;
  129.         BOOL bDAcl;
  130.         BOOL bDefDAcl;
  131.         DWORD dwRet;

  133.         PACL pSacl = NULL;
  134.         PSID pSidOwner = NULL;
  135.         PSID pSidPrimary = NULL;
  136.         DWORD dwAclSize = 0;
  137.         DWORD dwSaclSize = 0;
  138.         DWORD dwSidOwnLen = 0;
  139.         DWORD dwSidPrimLen = 0;

  141.         DWORD dwSDLen;
  142.         EXPLICIT_ACCESS ea;
  143.         PSECURITY_DESCRIPTOR pOrigSd = NULL;
  144.         PSECURITY_DESCRIPTOR pNewSd = NULL;

  146.         STARTUPINFO si;
  147.         PROCESS_INFORMATION pi;
  148.         BOOL bError;

  150.          
  151.         // Get the current process - IEExplore.exe
  152.         //hProcess = GetCurrentProcess();

  154.         dwPid = GetPidFromProcName(ProcName);

  156.         //dwPid = 1200;  //<<<<<<<<<<<<<<<<<< PID

  158.         hProcess = OpenProcess( PROCESS_QUERY_INFORMATION, false, dwPid);
  159.         //OpenProcessToken(hProc, READ_CONTROL | WRITE_DAC, &hToken);



  163.         // Open IE process token and specify the access types to IE token
  164.         if (!OpenProcessToken(hProcess, READ_CONTROL | WRITE_DAC, &hToken))
  165.         {
  166.                 printf( "OpenProcessToken() = %d\n", GetLastError() );

  168.                 bError = TRUE;
  169.                 goto Cleanup;
  170.         }

  172.         // Create a new access control information that includes all access permissions.
  173.         ZeroMemory( &ea, sizeof( EXPLICIT_ACCESS ) );
  174.         BuildExplicitAccessWithName( &ea,
  175.                 strUserName, // Note: if you specified other trustee name,
  176.                                // it would fail at subsequent code
  177.                 TOKEN_ALL_ACCESS,
  178.                 GRANT_ACCESS,
  179.                 0 );

  181.         if ( !GetKernelObjectSecurity( hToken,
  182.                 DACL_SECURITY_INFORMATION,
  183.                 pOrigSd,
  184.                 0,
  185.                 &dwSDLen ) )
  186.         {
  187.                 // We first get the length of original
  188.                 // security descriptor to IE token
  189.                 if ( GetLastError() == ERROR_INSUFFICIENT_BUFFER )
  190.                 {
  191.                         pOrigSd = ( PSECURITY_DESCRIPTOR )
  192.                                 HeapAlloc( GetProcessHeap(),
  193.                                 HEAP_ZERO_MEMORY,
  194.                                 dwSDLen );
  195.                         if ( pOrigSd == NULL )
  196.                         {
  197.                                 printf( "Allocate pSd memory to failed!\n" );


  200.                                 bError = TRUE;
  201.                                 goto Cleanup;
  202.                         }

  204.                         // Again, we now get the original
  205.                         // security descriptor to IE token
  206.                         if ( !GetKernelObjectSecurity( hToken,
  207.                                 DACL_SECURITY_INFORMATION,
  208.                                 pOrigSd,
  209.                                 dwSDLen,
  210.                                 &dwSDLen ) )
  211.                         {
  212.                                 printf( "GetKernelObjectSecurity() = %d\n",
  213.                                                         GetLastError() );
  214.                                 bError = TRUE;
  215.                                 goto Cleanup;
  216.                         }
  217.                 }
  218.                 else
  219.                 {
  220.                         printf( "GetKernelObjectSecurity() = %d\n", GetLastError() );
  221.                         bError = TRUE;
  222.                         goto Cleanup;
  223.                 }
  224.         }

  226.         // Getting ACL of original security descriptor
  227.         if ( !GetSecurityDescriptorDacl( pOrigSd, &bDAcl, &pOldDAcl, &bDefDAcl ) )
  228.         {
  229.                 printf( "GetSecurityDescriptorDacl() = %d\n", GetLastError() );

  231.                 bError = TRUE;
  232.                 goto Cleanup;
  233.         }

  235.         // Using the created access control information - EXPLICIT_ACCESS,
  236.         // and the original ACL to generate a new ACL
  237.         dwRet = SetEntriesInAcl( 1, &ea, pOldDAcl, &pNewDAcl );
  238.         if ( dwRet != ERROR_SUCCESS )
  239.         {
  240.                 printf( "SetEntriesInAcl() = %d\n", GetLastError() );
  241.                 pNewDAcl = NULL;

  243.                 bError = TRUE;
  244.                 goto Cleanup;
  245.         }

  247.         // Create a new security descriptor that refers
  248.         // to original security descriptor.
  249.         if ( !MakeAbsoluteSD( pOrigSd,
  250.                 pNewSd,
  251.                 &dwSDLen,
  252.                 pOldDAcl,
  253.                 &dwAclSize,
  254.                 pSacl,
  255.                 &dwSaclSize,
  256.                 pSidOwner,
  257.                 &dwSidOwnLen,
  258.                 pSidPrimary,
  259.                 &dwSidPrimLen ) )
  260.         {
  261.                 if ( GetLastError() == ERROR_INSUFFICIENT_BUFFER )
  262.                 {
  263.                         pOldDAcl = ( PACL ) HeapAlloc( GetProcessHeap(),
  264.                                 HEAP_ZERO_MEMORY,
  265.                                 dwAclSize );
  266.                         pSacl = ( PACL ) HeapAlloc( GetProcessHeap(),
  267.                                 HEAP_ZERO_MEMORY,
  268.                                 dwSaclSize );
  269.                         pSidOwner = ( PSID ) HeapAlloc( GetProcessHeap(),
  270.                                 HEAP_ZERO_MEMORY,
  271.                                 dwSidOwnLen );
  272.                         pSidPrimary = ( PSID ) HeapAlloc( GetProcessHeap(),
  273.                                 HEAP_ZERO_MEMORY,
  274.                                 dwSidPrimLen );
  275.                         pNewSd = ( PSECURITY_DESCRIPTOR )
  276.                                 HeapAlloc( GetProcessHeap(),
  277.                                 HEAP_ZERO_MEMORY,
  278.                                 dwSDLen );

  280.                         if ( pOldDAcl == NULL ||
  281.                                 pSacl == NULL ||
  282.                                 pSidOwner == NULL ||
  283.                                 pSidPrimary == NULL ||
  284.                                 pNewSd == NULL )
  285.                         {
  286.                                 printf( "Allocate SID or ACL to failed!\n" );

  288.                                 bError = TRUE;
  289.                                 goto Cleanup;
  290.                         }

  292.                         if ( !MakeAbsoluteSD( pOrigSd,
  293.                                 pNewSd,
  294.                                 &dwSDLen,
  295.                                 pOldDAcl,
  296.                                 &dwAclSize,
  297.                                 pSacl,
  298.                                 &dwSaclSize,
  299.                                 pSidOwner,
  300.                                 &dwSidOwnLen,
  301.                                 pSidPrimary,
  302.                                 &dwSidPrimLen ) )
  303.                         {
  304.                                 printf( "MakeAbsoluteSD() = %d\n", GetLastError() );

  306.                                 bError = TRUE;
  307.                                 goto Cleanup;
  308.                         }
  309.                 }
  310.                 else
  311.                 {
  312.                         printf( "MakeAbsoluteSD() = %d\n", GetLastError() );

  314.                         bError = TRUE;
  315.                         goto Cleanup;
  316.                 }
  317.         }

  319.         // Well, we have owned a new security descriptor & a new ACL,
  320.         // all we have to do is fetch the new ACL into the new security descriptor!
  321.         if ( !SetSecurityDescriptorDacl( pNewSd, bDAcl, pNewDAcl, bDefDAcl ) )
  322.         {
  323.                 printf( "SetSecurityDescriptorDacl() = %d\n", GetLastError() );

  325.                 bError = TRUE;
  326.                 goto Cleanup;
  327.         }

  329.         //
  330.         // Injects the new security descriptor into IE token
  331.         //
  332.         if ( !SetKernelObjectSecurity( hToken, DACL_SECURITY_INFORMATION, pNewSd ) )
  333.         {
  334.                 printf( "SetKernelObjectSecurity() = %d\n", GetLastError() );

  336.                 bError = TRUE;
  337.                 goto Cleanup;
  338.         }

  340.         //
  341.         // When we open IE process again, the hToken has all access permissions.
  342.         //
  343.         if ( !OpenProcessToken( hProcess, TOKEN_ALL_ACCESS, &hToken ) )
  344.         {
  345.                 printf( "OpenProcessToken() = %d\n", GetLastError() );

  347.                 bError = TRUE;
  348.                 goto Cleanup;
  349.         }

  351.         //
  352.         // Then, make a duplicate from IE token
  353.         //
  354.         if ( !DuplicateTokenEx( hToken,
  355.                 TOKEN_ALL_ACCESS,
  356.                 NULL,
  357.                 SecurityImpersonation,
  358.                 TokenPrimary,
  359.                 &hNewToken ) )
  360.         {
  361.                 printf( "DuplicateTokenEx() = %d\n", GetLastError() );

  363.                 bError = TRUE;
  364.                 goto Cleanup;
  365.         }


  368.         ZeroMemory( &si, sizeof( STARTUPINFO ) );
  369.         si.cb = sizeof( STARTUPINFO );

  371.         // Now, we impersonate the security context of a
  372.         // logged-on user using the token.
  373.         // Note: if you didn't, the below CreateProcessAsUser
  374.         // will report 1314 no permission error.
  375.         ImpersonateLoggedOnUser( hNewToken );


  378.         // Finally, we use the token to create new process.
  379.         if ( !CreateProcessAsUser( hNewToken,
  380.                 NULL,
  381.                 szProcessName,
  382.                 NULL,
  383.                 NULL,
  384.                 FALSE,
  385.                 NULL, //NORMAL_PRIORITY_CLASS | CREATE_NEW_CONSOLE,
  386.                 NULL,
  387.                 NULL,
  388.                 &si,
  389.                 &pi ) )
  390.         {
  391.                 printf( "CreateProcessAsUser() = %d\n", GetLastError() );

  393.                 bError = TRUE;
  394.                 goto Cleanup;
  395.         }

  397.         bError = FALSE;

  399. Cleanup:
  400.         if ( pOrigSd )
  401.         {
  402.                 HeapFree( GetProcessHeap(), 0, pOrigSd );
  403.         }
  404.         if ( pNewSd )
  405.         {
  406.                 HeapFree( GetProcessHeap(), 0, pNewSd );
  407.         }
  408.         if ( pSidPrimary )
  409.         {
  410.                 HeapFree( GetProcessHeap(), 0, pSidPrimary );
  411.         }
  412.         if ( pSidOwner )
  413.         {
  414.                 HeapFree( GetProcessHeap(), 0, pSidOwner );
  415.         }
  416.         if ( pSacl )
  417.         {
  418.                 HeapFree( GetProcessHeap(), 0, pSacl );
  419.         }
  420.         //if ( pOldDAcl )
  421.         //{
  422.                 //HeapFree( GetProcessHeap(), 0, pOldDAcl );
  423.         //}

  425.         if (!bError)
  426.         {
  427.             CloseHandle( pi.hProcess );
  428.             CloseHandle( pi.hThread );
  429.             CloseHandle( hToken );
  430.             CloseHandle( hNewToken );
  431.             CloseHandle( hProcess );
  432.         }

  434.         if ( bError )
  435.         {
  436.             return FALSE;
  437.         }

  439.         return TRUE;
  440. }



  444. BOOL EnumProcesseEx1()
  445. {
  446.         DWORD processid[1024];
  447.         DWORD needed;
  448.         DWORD processcount;
  449.         char path[MAX_PATH] = "";
  450.         char temp[256];
  451.         HANDLE hProcess;
  452.         HMODULE hModule;

  454.         // getting need buffer size
  455.         EnumProcesses(processid, sizeof(processid), &needed);
  456.         processcount = needed / sizeof(DWORD);
  457.                        
  458.         for (DWORD i=0; i<processcount; i++)
  459.         {       
  460.                 //hProcess = NULL;

  462.                 hProcess = OpenProcess( PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, false, processid[i]);

  464.                 if (hProcess)
  465.                 {
  466.                         EnumProcessModules(hProcess, &hModule, sizeof(hModule), &needed);
  467.                         GetModuleFileNameEx(hProcess, hModule, path, sizeof(path));
  468.                         GetShortPathName(path,path,256);
  469.                         itoa(processid[i],temp,10);
  470.                         printf("%s Pid:%s\n",path,temp);
  471.                 }
  472.                 else
  473.                         printf("Failed!!!\n");

  475.                 if (hProcess)
  476.                         CloseHandle(hProcess);

  478.         }

  480.         return TRUE;
  481. }

复制代码

评分

参与人数 1水晶币 +100 收起 理由
Tesla.Angela + 100 努力刷源码的奖励

查看全部评分

回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2012-5-15 07:46:55 | 显示全部楼层
发表于 2 小时前

怎么你半夜刷SRC,难道是超人不用睡觉???{:soso_e115:}
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

diddom

96

主题

158

回帖

4

精华

核心会员

积分
6513
 楼主| 发表于 2012-5-16 02:30:15 | 显示全部楼层
本帖最后由 diddom 于 2012-5-17 15:46 编辑

我是夜貓子~



回复

举报

diddom

96

主题

158

回帖

4

精华

核心会员

积分
6513
 楼主| 发表于 2012-5-17 15:46:59 | 显示全部楼层
本帖最后由 diddom 于 2012-5-17 15:48 编辑

这主题的source於5/17/2012更新
回复

举报

xxy19804

4

主题

62

回帖

1

精华

铂金会员

积分
1523
发表于 2012-5-31 08:44:14 | 显示全部楼层
代码收下了,正好研究下
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2012-5-31 10:29:21 | 显示全部楼层
LZ的好东西真多。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

马大哈

275

主题

3017

回帖

1

精华

管理员

嗷嗷叫的老马

积分
17064

论坛牛人贡献奖关注奖最佳版主进步奖人气王疯狂作品奖精英奖赞助论坛勋章乐于助人勋章

QQ
发表于 2012-6-1 13:25:29 | 显示全部楼层
还有一招不用编程的办法也能读写SAM键,那就是直接在这个键上右键---->权限---->把当前用户名的所有权勾上,再重新打开regedit即可......

也可以伪编程,生成一个INI权限描述文件,再用regini.exe去执行,嘿嘿......
我就是嗷嗷叫的老马了......
回复

举报

wszjljx

21

主题

162

回帖

4

精华

论坛元老

Tokyo-Hot

积分
5945
QQ
发表于 2013-3-1 13:35:31 | 显示全部楼层
对Win7不起作用......
洗澡脱光衣服打开水才发现自己没带洗发水没带沐浴乳只带了一包洗衣粉 心酸的用洗衣粉把自己搓了一遍... ...
回复

举报

baichimm

0

主题

52

回帖

0

精华

钻石会员

积分
3863
发表于 2019-5-7 09:58:11 | 显示全部楼层
多谢
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表