找回密码
 加入
搜索
查看: 1215|回复: 8

[原创] ExecRunAsV4--创建一个TI权限的进程-20241015

[复制链接]
发表于 2022-2-15 09:17:01 | 显示全部楼层 |阅读模式
本帖最后由 tubaba 于 2024-10-16 10:12 编辑

相对于V1版本的几个特点:
1。创建system权限的进程不再需要通过服务的方式进行创建,只需admin权限即可。
2。强大的命令行调用方式,提供命令行预览测试窗口,可生成特定的快捷方式或批处理文件调用指定进程。
3。所有功能的实现均为调用win32 API.



ExecRunAs written by tubaba.
注意:此应用部分功能只支持 "windows vista" 以后的操作系统版本.


ExecRunAs 命令行介绍:

格式: ExecRunAs [ 选项与参数 ] 命令行或常用任务名
   1. 所有的命令行参数不区分大小写.   
   2. 可以在命令行参数中使用 "/" 代替 "-" 和使用 "=" 代替 ":".例如 "/USER:T" "-user=t" 是等价的.   
   3. 参数没有先后顺序.   


选项:

-USER:[ 选项 ] 以指定用户选项创建进程.可用选项:
    T        TrustedInstaller
S        System
D        Desktop
    C        当前用户
    CE        当前用户 (UAC提权)
    RA        指定用户
: 这是一个必须被包含的参数.

-NM:[ 选项 ] 指定帐户名称,仅当参数 "-USER" 使用选项 "RA" 时检查此参数.
: 当指定参数 "-USER:RA" ,必须指定此项.

-PW:[ 选项 ] 指定帐户密码,仅当参数 "-USER" 使用选项 "RA" 时检查此参数.
: 当指定参数 "-USER:RA" ,必须指定此项.

-DM:[ 选项 ] 指定执行域,仅当参数 "-USER" 使用选项 "RA" 时检查此参数.
: 当指定参数 "-USER:RA" ,如没有指定此项.则默认使用 当前域.

-LF:[ 选项 ] 指定登录标志,仅当参数 "-USER" 使用选项 "RA" 时检查此参数.
        0 不加载配置文件的交互式登录.
        1 加载配置文件的交互式登录.
        2 使用网络凭据.
        4 继承调用进程的环境, 而不是用户环境.
: 可以叠加使用,"加载配置文件的交互式登录""使用网络凭据"选项是不兼容的.同时使用会产生不确定的结果.当指定参数 "-USER:RA" ,如没有指定此项.则默认使用 0 (不加载配置文件的交互式登录).

-UA:[ 选项 ] UIAccess,为进程附加UIAccess特殊安全属性.可用选项:
    E 启用
D 禁用
: 若未指定此选项, 将不会进行附加操作.

-IL:[ 选项 ] IntegrityLevel,以指定完整性等级创建进程.可用选项:
    S 系统
    H
    M
    L
: 如果想以默认完整性选项创建进程的话, 请不要包含 "-IL" 参数.

-PRIV:[ 选项 ] Privilege, 以指定特权选项创建进程.可用选项:
    E 启用全部特权
    D 禁用所有特权
: 如果想以默认特权选项创建进程的话, 请不要包含 "-PRIV" 参数.

-SWM:[ 选项 ] ShowWindowMode, 以指定窗口模式选项创建进程.可用选项:
    Show 显示窗口
    Hide 隐藏窗口
    Maximize 最大化
    Minimize 最小化
: 如果想以默认窗口模式选项创建进程的话, 请不要包含 "-SWM" 参数.这个参数并不是对所有程序都有效.由程序设计决定.

-PRIO:[ 选项 ] PriorityLevel, 创建进程后指定进程优先级.可用选项:
    Idle
    BelowNormal 低于正常
    Normal 正常
    AboveNormal 高于正常
    High
    RealTime 实时
: 如果想以默认进程优先级创建进程的话, 请不要包含 "-PRIO" 参数.

-CD:[ 选项 ] CurrentDirectory,指定工作目录.如没有指定此项,则默认使用 "system32""syswow64" 文件夹路径.

-SEM:[ 选项 ] ShowErrorMsg,当发生错误时,是否显示错误信息.
    H 不显示错误信息.
    C 错误信息输出到 STDOUT(标准输出流).
    W 错误信息显示到消息盒子.
: 若未指定此选项,发生错误时,默认显示错误消息到消息盒子.

示例:
    1、以TrustedInstaller权限,启用所有特权,完整性高,工作目录"C:\Windows\SysWOW64\", 运行命令提示符带参数"/k whoami /all":

        ExecRunAsV4.exe "/user:t" "/il:h" "/priv:e" "/cd:C:\Windows\SysWOW64\" ""C:\Windows\system32\cmd.exe"  /k whoami /all"

    2、以用户"administrator",密码"XXXXX",执行域"local",加载用户环境变量方法启动的[System权限, 启用所有特权,完整性高,工作目录"C:\", 运行命令提示符带参数"/k whoami /all"]:

        ExecRunAsV4.exe "/user:ra" "/nm:administrator" "/pw:XXXXX" "/dm:local" "/lf:1" "/cd:C:\" " ExecRunAsV4.exe ""/user:s""  ""/il:h"" ""/priv:e""   ""/cd:C:\"" """"C:\Windows\system32\cmd.exe""  /k whoami /all"" "

(注意正确的使用双引号)



System权限的实际用处(转):

1、注册表访问:

  在非SYSTEM权限下,用户是不能访问某些注册表项的,比如“HKEY_LOCAL_MACHINE\ SAM”、“HKEY_LOCAL_MACHINE\ SECURITY”等。这些项记录的是系统的核心数据,但某些病毒或者木马经常光顾这里。比如在SAM项目下建立具有管理员权限的隐藏账户,在默认情况下管理员通过在命令行下敲入“net user”或者在“本地用户和组”(lusrmgr.msc)中是无法看到的,给系统造成了很大的隐患。在“SYSTEM”权限下,注册表的访问就没有任何障碍,一切黑手都暴露无遗!

2、访问系统还原文件:

  系统还原是windows系统的一种自我保护措施,它在每个根目录下建立“System Volume Information”文件夹,保存一些系统信息以备系统恢复时使用。如果你不想使用“系统还原”,或者想删除其下的某些文件,这个文件夹具有隐藏、系统属性,非SYSTEM权限是无法删除的。如果以SYSTEM权限登录你就可以任意删除了,甚至你可以在它下面建立文件,达到保护隐私的作用。

3、更换系统文件:

  Windows系统为系统文件做了保护机制,一般情况下你是不可能更换系统文件的。在实际应用中如果有时你需要Diy自己的系统修改一些系统文件,或者用高版本的系统文件更换低版本的系统文件,让系统功能提升。

4、手工杀毒:

  用户在使用电脑的过程中一般都是用Administrator或者其它的管理员用户登录的,中毒或者中马后,病毒、木马大都是以管理员权限运行的。我们在系统中毒后一般都是用杀毒软件来杀毒,如果你的杀软瘫痪了,或者杀毒软件只能查出来,但无法清除,这时候就只能赤膊上阵,手工杀毒了。在Adinistrator权限下,如果手工查杀对于有些病毒无能为力,一般要启动到安全模式下,有时就算到了安全模式下也无法清除干净。如果以SYSTEM权限登录,查杀病毒就容易得多。



TI权限介绍():

TITrustedInstaller,是Windows Update等系统组件需要修改文件时,使用的“代理”。
TI的权限非常高~ 堪称Windows版的ROOT权限~
TI CMD可以让你在不修改/破坏NTFS权限设置下,直接对大部分系统文件进行操作,比如替换、重命名、删除……
已验证可以成功修改的文件包括explorer.exeshell32.exeiexplore.exe

这不代表SYSTEM CMD一无是处,有些路径,如 C:\Windows\System32\config\systemprofile,必须通过SYSTEM CMD才能读写。不过一般情况下,还是TI CMD会比较好用

UIAccess介绍():


UIAccess可用于一些特殊的程序,让它们可以忽略UIPIUI特权隔离)。这类程序一般以普通方式运行,但它们需要访问已提权的窗口。还可以用来创建最高Z序的窗口(如用作截图工具的形状提示器)。

Windows7及以下系统,直接用SetWindowPos(HWND_TOPMOST)可以使窗口在最上层。但从Windows8开始,微软引入了其他窗口段(Band),它们从低到高的顺序如下:
ZBID_DESKTOP
ZBID_IMMERSIVE_BACKGROUND
ZBID_IMMERSIVE_APPCHROME
ZBID_IMMERSIVE_MOGO
ZBID_IMMERSIVE_INACTIVEMOBODY
ZBID_IMMERSIVE_NOTIFICATION
ZBID_IMMERSIVE_EDGY
ZBID_SYSTEM_TOOLS
ZBID_LOCK(仅Windows 10
ZBID_ABOVELOCK_UX(仅Windows 10
ZBID_IMMERSIVE_IHM
ZBID_GENUINE_WINDOWS
ZBID_UIACCESS
默认的窗口段是ZBID_DESKTOP,这导致无论如何SetWindowPos,窗口的Z序始终低于设置过其他更高层段的窗口。

感谢:
本项目借鉴了
1. M2-Team开源项目Nsudo
https://github.com/M2Team/NSudo.(https://bbs.pcbeta.com/viewthread-1675661-1-1.html)

2. jschicht开源项目RunAsTI
https://github.com/jschicht/RunAsTI

3. killtimer0开源项目 UIAccess
https://github.com/killtimer0/uiaccess

4. ZeroMemoryEx开源项目Blackout
https://github.com/ZeroMemoryEx/Blackout

更新历史:
20240905
V1.5
增加:使用知名的gmer64.sys内核驱动来结束系统内顽固进程,包括EDR(端点检测和响应)AV(防病毒软件)的用户态进程.使用此功能前请知道你在干什么,否则可能对系统稳定性或安全性造成不可逆的损害。

20230125
V1.4
增加:现在可以创建指定父进程的进程.(在命令行模式下,不支持此功能).

20230111
V1.3
修改:创建TI权限进程从启动2次改为1.(不再启动System权限的另一个进程来访问TrustedInstaller服务).
增加:为进程附加UIAccess特殊安全属性(可以让拥有置顶属性的窗口覆盖任何其它窗口).
20230109
V1.2
修改:在启动新的进程后还原本进程所拥有的特权.
20220516
V1.1
修改:激活命令行预览窗口后,将自动启用可能被禁用的选项,便于调试与创建.关闭后重新禁用.
20220101
V1.0
发布第一版






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?加入

×

评分

参与人数 3威望 +1 金钱 +179 贡献 +2 收起 理由
haijie1223 + 1 + 99 + 2 赞一个!
yuantian + 40 很给力!
itzyx + 40 不是很懂,但不妨碍我膜拜一下。

查看全部评分

发表于 2022-2-15 11:44:35 | 显示全部楼层
这个很强大,试试看
发表于 2022-2-15 11:46:57 | 显示全部楼层
前段时间有个execruns,和这个有点象
发表于 2022-2-15 15:07:34 | 显示全部楼层
钱呀钱,没钱真难办,好累、回复、挣钱
发表于 2022-2-15 15:15:17 | 显示全部楼层
辛苦了,这么好的软件,用心了
发表于 2022-2-15 23:55:49 | 显示全部楼层
谢谢分享
谢谢,,学习一下哈哈哈。
发表于 2022-2-27 14:07:43 | 显示全部楼层
很强大的工具
发表于 2022-8-25 21:48:19 | 显示全部楼层
牛皮啊 膜拜大神
发表于 昨天 11:06 | 显示全部楼层
感谢分享,支持一下
您需要登录后才可以回帖 登录 | 加入

本版积分规则

QQ|手机版|小黑屋|AUTOIT CN ( 鲁ICP备19019924号-1 )谷歌 百度

GMT+8, 2024-12-27 09:40 , Processed in 0.076810 second(s), 23 queries .

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表