[讨论]从磁碟机里逆向出来的Debug权限提权代码……-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]从磁碟机里逆向出来的Debug权限提权代码……

发表于: 2008-8-17 17:05 8511

[讨论]从磁碟机里逆向出来的Debug权限提权代码……

yangjt

2008-8-17 17:05

8511

signed int __cdecl GetDebugDroit(LPCSTR lpName, int a2)
{
HANDLE hSelf; // eax@1
HANDLE hObject; // [sp+1Ch] [bp-4h]@1
  struct _LUID Luid; // [sp+14h] [bp-Ch]@2
  struct _TOKEN_PRIVILEGES NewState; // [sp+4h] [bp-1Ch]@4

hSelf = GetCurrentProcess();
  if ( OpenProcessToken(
      hSelf,
      STANDARD_RIGHTS_READ|TOKEN_QUERY|TOKEN_ADJUST_PRIVILEGES,
      &hObject) )
{
if ( !LookupPrivilegeValueA(
         0,
         lpName,
         &Luid) )
   return 1;
   NewState.Privileges[0].Luid.LowPart = Luid.LowPart;
   NewState.Privileges[0].Luid.HighPart = Luid.HighPart;
   NewState.Privileges[0].Attributes = -(a2 != 0) & 2;
   NewState.PrivilegeCount = 1;
   AdjustTokenPrivileges(
   hObject,
   0,
   &NewState,
   0,
   0,
   0);
   CloseHandle(hObject);
}
  return 0;
}

经测试提权后克成功结束Winlogon.exe

效果如下图……：

顺便说一句……代码需要整理整理……至于怎么整理是你的问题……其实直接调用也可以……不过需要一个参数……至于这个参数是什么，自己搜索MSDN，免得有心人直接用上就不好了……

不过这个参数在MSDN里是定死的。好像只有两个值……只不过把他变了变……让它以字符指针传递就是了……

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

BSOD.jpg （12.57kb，320次下载）

收藏・3

免费・0

支持

最新回复 (18)
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 2 楼貌似直接F5出来这代码到处都是没什么好保留的 BOOL EnableDebugPrivilge(LPCSTR lpName, BOOL fEnable) { HANDLE hObject; LUID Luid; TOKEN_PRIVILEGES NewStatus; if (!OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY \| TOKEN_ADJUST_PRIVILEGES, &hObject)) return FALSE; if (LookupPrivilegeValue(NULL, lpName, &Luid)) { NewStatus.Privileges[0].Luid = Luid; NewStatus.PrivilegeCount = 1; NewStatus.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED : 0; AdjustTokenPrivileges(hObject, FALSE, &NewStatus, 0, 0, 0); CloseHandle(hObject); return TRUE; } return FALSE; } 2008-8-17 17:20 0
StarsunYzL 雪币： 424 活跃值： (1829) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 3 楼眼花，没看出啥特别之处，这段代码貌似已经满天飞很久了吧~~~ 2008-8-17 17:21 0
StarsunYzL 雪币： 424 活跃值： (1829) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 4 楼汗……比nevergone慢了00:01 2008-8-17 17:22 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 5 楼起码是自己找到的……比较有成就感…… 2008-8-17 17:24 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 6 楼 LZ　去看windows核心编程呀 2008-8-17 17:26 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 7 楼谢谢提示~~ 2008-8-17 17:30 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 8 楼结束winlogon需要SE_DEBUG? 小吃惊. 2008-8-17 17:35 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 9 楼没有SE_DEBUG能结束winlogon？Ring3哦~~ 2008-8-17 17:37 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 10 楼要不要SE_DEBUG？还没试过，结束系统进程好像要的 2008-8-17 18:30 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 11 楼 LZ，你是火星人吗？ 2008-8-17 19:11 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 12 楼 ;===============调整权限===================== privilege db "SeShutdownPrivilege",0 AdjustToken proc local hdlProcessHandle local hdlTokenHandle local @tp:TOKEN_PRIVILEGES local lBufferNeeded local @os:OSVERSIONINFO mov @os.dwOSVersionInfoSize,sizeof OSVERSIONINFO invoke GetVersionExA,addr @os cmp @os.dwPlatformId,VER_PLATFORM_WIN32_NT jne @F invoke GetCurrentProcess mov hdlProcessHandle,eax invoke OpenProcessToken,hdlProcessHandle,TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY,addr hdlTokenHandle invoke LookupPrivilegeValue,0,addr privilege,addr @tp.Privileges.Luid mov @tp.PrivilegeCount,1 mov @tp.Privileges.Attributes,SE_PRIVILEGE_ENABLED invoke AdjustTokenPrivileges,hdlTokenHandle,FALSE,addr @tp,sizeof TOKEN_PRIVILEGES,addr @tp,addr lBufferNeeded @@: ret AdjustToken endp // ps.也不知道哪里的了 2008-8-17 19:59 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 13 楼好科普的代码！！ 2008-8-17 22:03 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 14 楼看来我真的需要去长长见识了…… 2008-8-17 22:05 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 15 楼支持LZ..... 有好代码一起分享........ 老鸟不在忽的东西但对我们这些菜鸟很有意...谢谢...... 2008-8-17 22:45 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 16 楼来膜拜火星LZ的 2008-8-17 22:46 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 17 楼所以病毒的"技术含量"才会被吹到天上去你说我当年做病毒分析的时候,天天看类似的代码,能不说病毒没技术含量吗? 2008-8-18 00:13 0
xss 雪币： 471 活跃值： (3988) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 18 楼 AdjustTokenPrivileges真的很普遍了 2008-8-18 12:40 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 19 楼这代码还真是有点年头了，至少也换个RtlAdjustPrivilege()。RtlAdjustPrivilege用起来方便，省事，比如这样 var RtnInt: Integer; begin if (RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, TRUE, FALSE, @RtnInt) <> STATUS_SUCCESS) then begin MessageBoxW(0, 'RtlAdjustPrivilege() Error!', '', MB_OK); end; 实际也就 RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, TRUE, FALSE, @RtnInt) 一句搞定！ 2008-8-18 21:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yangjt

发帖

459

回帖

441

RANK

关注

私信

他的文章

[原创]动手给音速启动加点动力、 15732
[原创]lpk类病毒分析 31515
[原创]css.exe逆向分析 7813
[原创]Worm.Parite.Residented 详细分析+专杀工具src 11224
[原创]BuildVersion V1.0 CrAcKeD 3568

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 2 楼貌似直接F5出来这代码到处都是没什么好保留的 BOOL EnableDebugPrivilge(LPCSTR lpName, BOOL fEnable) { HANDLE hObject; LUID Luid; TOKEN_PRIVILEGES NewStatus; if (!OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY \| TOKEN_ADJUST_PRIVILEGES, &hObject)) return FALSE; if (LookupPrivilegeValue(NULL, lpName, &Luid)) { NewStatus.Privileges[0].Luid = Luid; NewStatus.PrivilegeCount = 1; NewStatus.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED : 0; AdjustTokenPrivileges(hObject, FALSE, &NewStatus, 0, 0, 0); CloseHandle(hObject); return TRUE; } return FALSE; } 2008-8-17 17:20 0
StarsunYzL 雪币： 424 活跃值： (1829) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 3 楼眼花，没看出啥特别之处，这段代码貌似已经满天飞很久了吧~~~ 2008-8-17 17:21 0
StarsunYzL 雪币： 424 活跃值： (1829) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 4 楼汗……比nevergone慢了00:01 2008-8-17 17:22 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 5 楼起码是自己找到的……比较有成就感…… 2008-8-17 17:24 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 6 楼 LZ　去看windows核心编程呀 2008-8-17 17:26 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 7 楼谢谢提示~~ 2008-8-17 17:30 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 8 楼结束winlogon需要SE_DEBUG? 小吃惊. 2008-8-17 17:35 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 9 楼没有SE_DEBUG能结束winlogon？Ring3哦~~ 2008-8-17 17:37 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 10 楼要不要SE_DEBUG？还没试过，结束系统进程好像要的 2008-8-17 18:30 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 11 楼 LZ，你是火星人吗？ 2008-8-17 19:11 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 12 楼 ;===============调整权限===================== privilege db "SeShutdownPrivilege",0 AdjustToken proc local hdlProcessHandle local hdlTokenHandle local @tp:TOKEN_PRIVILEGES local lBufferNeeded local @os:OSVERSIONINFO mov @os.dwOSVersionInfoSize,sizeof OSVERSIONINFO invoke GetVersionExA,addr @os cmp @os.dwPlatformId,VER_PLATFORM_WIN32_NT jne @F invoke GetCurrentProcess mov hdlProcessHandle,eax invoke OpenProcessToken,hdlProcessHandle,TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY,addr hdlTokenHandle invoke LookupPrivilegeValue,0,addr privilege,addr @tp.Privileges.Luid mov @tp.PrivilegeCount,1 mov @tp.Privileges.Attributes,SE_PRIVILEGE_ENABLED invoke AdjustTokenPrivileges,hdlTokenHandle,FALSE,addr @tp,sizeof TOKEN_PRIVILEGES,addr @tp,addr lBufferNeeded @@: ret AdjustToken endp // ps.也不知道哪里的了 2008-8-17 19:59 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 13 楼好科普的代码！！ 2008-8-17 22:03 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 14 楼看来我真的需要去长长见识了…… 2008-8-17 22:05 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 15 楼支持LZ..... 有好代码一起分享........ 老鸟不在忽的东西但对我们这些菜鸟很有意...谢谢...... 2008-8-17 22:45 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 16 楼来膜拜火星LZ的 2008-8-17 22:46 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 17 楼所以病毒的"技术含量"才会被吹到天上去你说我当年做病毒分析的时候,天天看类似的代码,能不说病毒没技术含量吗? 2008-8-18 00:13 0
xss 雪币： 471 活跃值： (3988) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 18 楼 AdjustTokenPrivileges真的很普遍了 2008-8-18 12:40 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 19 楼这代码还真是有点年头了，至少也换个RtlAdjustPrivilege()。RtlAdjustPrivilege用起来方便，省事，比如这样 var RtnInt: Integer; begin if (RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, TRUE, FALSE, @RtnInt) <> STATUS_SUCCESS) then begin MessageBoxW(0, 'RtlAdjustPrivilege() Error!', '', MB_OK); end; 实际也就 RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, TRUE, FALSE, @RtnInt) 一句搞定！ 2008-8-18 21:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复