UAC下的程序权限提升
2015-06-09 14:32
281 查看
来源:http://blog.kingsamchen.com/archives/801
UAC是微软为了提高Windows的安全性,自Windows Vista开始引入的新安全机制。
传统的NT内核系统依靠access token来做权限处理,access token由当前用户所在的用户组的权限决定。而由于长期以来的不当使用习惯问题,几乎所有Windows上用户所在的组都是管理员。
在启用UAC之后,系统会额外引入一个filtered token,并且这个token默认只能按照Standard User的权限去执行。所以这个token也通常被叫做limited filtered token。
PS:关于上面的简单介绍,请参考这里
因为执行权限有限,某些操作必然会要求更高的管理员权限。此时,通常就需要一个privilegs elevation的操作。程序可以向系统请求提权,系统会将此请求通过提一个提示框,请用户确认。
这里多说一点,如果当前用户的用户组权限不是管理员,提权操作是要求输入管理员密码的,这点和在Linux中的相应操作类似。不过我想大部分人的用户组都是管理员,所以这句话当我没说好了…
另外需要注意的一点是,这个elevation是受到一个process-boundary的限制的,具体体现在两方面:
程序只能在运行前要求提权。如果已经在运行了,那么将失去申请提权的能力
权限提升仅对此次进程有效
不过,一个具有full administrator token的进程利用
提升权限的操作大致有两个:
自动提权请求
手动提权请求
需要做的事情很简单,只需要更改程序的manifest文件。这个文件本质上是一个XML文件,默认情况下,它的内容因该是
只要将
另外,如果使用Visual Studio作为开发环境,直接在项目的属性里可以更改UAC的权限要求设置
答案是,没办法。具体原因前面说了。
不过,一个具有limited filtered token的进程是可以运行一个程序,并且让这个程序去请求系统提权。而且,我们可以让这个进程去再一次运行自己的EXE文件,并且请求提权。
这里需要的API是
这里我们需要关心大概只有三个成员:
需要关注
通常来说,如果某个程序运行途中可以通过触发,转而使用full administrator token运行,那么八成是利用这个API重新运行EXE文件,再将原有的程序退出或者隐藏。
至于剩下的那两成,表示不明白,不过我想可以请教传说中的花大婶。
默认时是这样
提升权限后是这样
核心代码是两块:
判断当前进程是否已经提权. 这个通过判断当前进程的token信息获得
提权运行. 如前所述,利用
具体代码可以看这里。
UAC是微软为了提高Windows的安全性,自Windows Vista开始引入的新安全机制。
传统的NT内核系统依靠access token来做权限处理,access token由当前用户所在的用户组的权限决定。而由于长期以来的不当使用习惯问题,几乎所有Windows上用户所在的组都是管理员。
在启用UAC之后,系统会额外引入一个filtered token,并且这个token默认只能按照Standard User的权限去执行。所以这个token也通常被叫做limited filtered token。
PS:关于上面的简单介绍,请参考这里
因为执行权限有限,某些操作必然会要求更高的管理员权限。此时,通常就需要一个privilegs elevation的操作。程序可以向系统请求提权,系统会将此请求通过提一个提示框,请用户确认。
这里多说一点,如果当前用户的用户组权限不是管理员,提权操作是要求输入管理员密码的,这点和在Linux中的相应操作类似。不过我想大部分人的用户组都是管理员,所以这句话当我没说好了…
另外需要注意的一点是,这个elevation是受到一个process-boundary的限制的,具体体现在两方面:
程序只能在运行前要求提权。如果已经在运行了,那么将失去申请提权的能力
权限提升仅对此次进程有效
不过,一个具有full administrator token的进程利用
CreateProcess创建的进程默认都继承了full administrator token。
提升权限的操作大致有两个:
自动提权请求
手动提权请求
自动提权请求
如果你的程序始终要求以full administrator token的模式运行,那么应该考虑在程序启动时自动向系统请求提权。需要做的事情很简单,只需要更改程序的manifest文件。这个文件本质上是一个XML文件,默认情况下,它的内容因该是
1 2 3 4 5 6 7 8 9 10 | <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3"> <security> <requestedPrivileges> <requestedExecutionLevel level="asInvoker" uiAccess="false"></requestedExecutionLevel> </requestedPrivileges> </security> </trustInfo> </assembly> |
requestExecutionLevel的
level的值改成
requiredAdministrator,再重新将这个文件链接入EXE即可。
另外,如果使用Visual Studio作为开发环境,直接在项目的属性里可以更改UAC的权限要求设置
手动提权请求
如果进程在运行途中需要full administrator token怎么办?答案是,没办法。具体原因前面说了。
不过,一个具有limited filtered token的进程是可以运行一个程序,并且让这个程序去请求系统提权。而且,我们可以让这个进程去再一次运行自己的EXE文件,并且请求提权。
这里需要的API是
ShellExecuteEx而不是根正苗红的
CreateProcess。因为后者没有和UAC相关的属性设置
ShellExecuteEx需要一个
SHELLEXECUTEINFO结构,这个结构如下
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | typedef struct _SHELLEXECUTEINFO { DWORD cbSize; ULONG fMask; HWND hwnd; LPCTSTR lpVerb; LPCTSTR lpFile; LPCTSTR lpParameters; LPCTSTR lpDirectory; int nShow; HINSTANCE hInstApp; LPVOID lpIDList; LPCTSTR lpClass; HKEY hkeyClass; DWORD dwHotKey; union { HANDLE hIcon; HANDLE hMonitor; } DUMMYUNIONNAME; HANDLE hProcess; } SHELLEXECUTEINFO, *LPSHELLEXECUTEINFO; |
lpVerb,
lpFile和
nShow
lpVerb必须被设置为runas;而
lpFile是要运行可执行文件的完整路径;
nShow控制窗口的显示。
需要关注
nShow是因为大部分初始化操作都将这个属性默认初始化为0,很不巧的是,0对应的属性是
SW_HIDE。除非你不需要窗体,否则还是需要手动调教下这个成员。
通常来说,如果某个程序运行途中可以通过触发,转而使用full administrator token运行,那么八成是利用这个API重新运行EXE文件,再将原有的程序退出或者隐藏。
至于剩下的那两成,表示不明白,不过我想可以请教传说中的花大婶。
Demo
自己手写了一个Demo,程序默认以limited filtered token运行。单击提权按钮,向系统请求提权。默认时是这样
提升权限后是这样
核心代码是两块:
判断当前进程是否已经提权. 这个通过判断当前进程的token信息获得
提权运行. 如前所述,利用
ShellExecuteEx
具体代码可以看这里。
相关文章推荐
- springmvc快速入门
- cookie和session
- n的阶乘,循环和递归实现
- Uva - 232 - Crossword Answers
- Lua模式匹配
- IOS 实现键盘弹出视图上移功能
- JAVA字符串分割,两个分隔符的,怎么实现
- Uva - 232 - Crossword Answers
- 资源共享——《嵌入式Linux应用开发完全手册》韦东山 PDF电子档下载
- 常见到的 runtime exception
- 各种内存池性能测试
- 0-1背包问题
- 【bzoj_1002】轮状病毒
- 【剑指offer】面试题一:赋值运算符函数
- [LeetCode] Sort Colors
- 随机森林-机器学习
- android studio 快捷键设置为eclipse的习惯
- 48. Rotate Image
- Tomcat启动的时候报 validateJarFile(xxxx) jar not loaded
- 利用LD_PRELOAD进行hook