Kun*_*pra 25 windows uac process
当没有人登录到 Windows 时,(显示登录屏幕)当前进程以哪个用户身份运行?(视频/声音驱动程序、登录会话、任何服务器软件、可访问性控制等。它们不能是任何用户或以前的用户,因为没有人登录。用户已启动但继续执行的进程呢?注销后运行?(例如 HTTP、FTP 服务器和其他网络内容)它们是否切换到 SYSTEM 帐户?如果用户启动的进程切换到 SYSTEM,则表明存在非常严重的漏洞。该进程是否以该用户身份运行注销后继续以该用户身份运行?
这就是 SETHC hack 允许您将 CMD 用作 SYSTEM 的原因吗?
use*_*686 40
当没有人登录到 Windows 时,(显示登录屏幕)当前进程以哪个用户身份运行?(视频/声音驱动程序、登录会话、任何服务器软件、可访问性控制等。
几乎所有的驱动程序都运行在内核模式下;他们不需要帐户,除非他们启动用户空间进程。少数用户空间驱动程序在 SYSTEM 下运行。
登录会话,我现在无法检查,但我确定它也使用 SYSTEM。您可以在Process Hacker或SysInternals ProcExp 中看到logonui.exe。事实上,你可以这样看一切。
“服务器软件”,请参阅下面的 Windows 服务。
用户已启动但注销后继续运行的进程怎么办?(例如 HTTP、FTP 服务器和其他网络内容)。他们是否切换到 SYSTEM 帐户?
这里分为三种:
普通的旧“背景”进程。那些在与启动它们的人相同的帐户下运行,并且在注销后不运行。注销过程将它们全部杀死。
“HTTP、FTP 服务器和其他网络内容”不会作为常规后台进程运行。它们作为服务运行。
Windows“服务”进程。这些不是直接启动的,而是通过服务管理器启动的。默认情况下,服务作为 LocalSystem 运行(isanae 说等于 SYSTEM),尽管它们可以配置专用帐户。
(当然,几乎没有人打扰。他们只是安装 XAMPP 或 WampServer 或其他一些废话,让它以 SYSTEM 身份运行,永远不打补丁。)
在最近的 Windows 系统上,我认为服务也可以有自己的SID,但我还没有研究这么多。
计划任务。这些由“后台”的“任务计划程序”服务启动,并且始终在任务中配置的帐户下运行(通常是创建任务的人)。
如果用户启动的进程切换到 SYSTEM,则表明存在非常严重的漏洞
这不是漏洞,因为您必须已经拥有管理员权限才能安装服务。拥有管理员权限已经让您几乎可以做任何事情。
(另请参阅同类的各种其他非漏洞)
| 归档时间: |
|
| 查看次数: |
7161 次 |
| 最近记录: |