讲到Exploit都会涉及到提升权限的问题，所谓提升权限就是利用系统的漏洞来获得更高的Privilege。比如说，你用一般用户的账号登录Windows NT/Windows 2000后，你就只能作有限的操作，却不能加减用户，不能往系统目录中存写文件等等；但等到你通过系统的漏洞获得了Administrator或者Local System的权限以后，你也就可以作这些事了。　

　　我研究Exploit的时间并不是很长，但看到有关在Windows操作系统中提升权限的方法与实例还真不少。刚才到Google上用关键词“microsoft”、“Windows”、“privilege”、“elevation”去搜索一下，居然返回3000多个结果。要知道，这还只是公布出来的部分，江湖中还有很多必杀绝技是不轻易示人的。

　　要想在这里详细地介绍所有Windows中提升权限的方法，我的功力是远远不够的----估计相当于丐帮一袋弟子的水平而已。所以呢，这一章所针对的读者应该是丐帮的入门弟子，如果你们哪位功力要用两个以上的麻袋来装的话，请尽管跳过这一章。

　　我在选择这一章的Exploit例子时，有意选择针对W2K操作系统、附带有源程序的例子，这样方便大家在自己的机器上试验。这些Exploit并不是每个都成功，但是我感觉它们有不少可借鉴之处，可以通过学习它们来了解黑客的思路，从而提高自己的反入侵能力。

　　记住我的机器dallas是W2K Service Pack 1，如果你们的计算机运行不同版本的W2K

　　Service Pack，这些Exploit可能需要改动。

　　顺便说一句，实际上在第一章里面我们已经提到一种在Unix或者Linux中提升权限的方法，就是去Exploit超级用户Root所有的、具有SUID位的执行程序。在Windows操作系统中，没有SUID这种说法，但是有一种RunAs服务(Service)进程可以提供类似于SUID的功能，而且是有可能被Exploit的。　　

　　利用Windows 2000中的Named Pipe来提升权限　　

　　Windows

　　2000中的RunAs服务进程可以让用户甲以用户乙的权限运行程序，这类似于Unix和Linux系统中SUID位功能。W2K中的一个API：CreateProcessWithLogonW就利用了RunAs服务进程，用户甲调用这个CreateProcessWithLogonW时把用户乙的账号(Account)、域(Domain)、密码(Password)提交给Windows操作系统作Authentication，如果Authentication成功，那么就接着运行指定的程序，而且这个程序运行时具有用户乙的权限。

　　CreateProcessWithLogonW API的定义如下：

　　BOOL CreateProcessWithLogonW(

　　LPCWSTR , // 用户乙的账号(Account)

　　LPCWSTR , file://用户乙的域(Domain)

　　LPCWSTR , // 用户乙的密码(Password)

　　DWORD , // logon option

　　LPCWSTR , // executable module name

　　LPWSTR , // command-line string

　　DWORD , // creation flags

　　LPVOID , // new environment block

　　LPCWSTR , // current directory name

　　LPSTARTUPINFOW , // startup information

　　LPPROCESS_INFORMATION // process information

　　);

　　那么CreateProcessWithLogonW是如何把用户乙的账号信息传给RunAs服务进程的呢？在Windows操作系统中有很多Interprocess

　　Communication的方法，大概最常见的就是

　　Pipe了。我们在上一章对IIS的Exploit中也用到了Pipe，不过那是没有名字的pipe

　　(Anonymous

　　Pipe)；在这里CreateProcessWithLogonW是用有名字的Pipe(named

　　Pipe)与RunAs联络的，这个named Pipe就是“\\.\pipe\secondarylogon”。

　　　　到目前为止，一切都正常。大家要问：RunAs的漏洞在哪里呢？它的漏洞是如何被Exploit的呢？根据RADIX

　　Team的解释：当用户甲用CreateProcessWithLogonW创建具有用户乙权限的进程时，它是不会核实“\\.\pipe\secondarylogon”的Server端究竟是连通到RunAs进程还是连通到其它的进程。如果RunAs服务进程在某一时刻停止运行的话，黑客进程可以趁机创建一个也叫“\\.\pipe\secondarylogon”的named

　　Pipe，然后黑客进程就假装成RunAs服务进程在Pipe的Server端等着接受信息。接着我们无辜而无知的用户甲调用CreateProcessWithLogonW了，它也不先调查一下Named

　　Pipe另一端的进程身份，就把用户乙的账号信息由伪造的named

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] 下一页

上一篇:我也做黑客：简单入侵个人电脑的步骤

下一篇:VBS脚本病毒如何躲过杀毒软件

Win2000中几个攻击实例成败心得相关文章：

·《拳皇2002》隐藏超杀出招表 - 技巧心得

·DIV CSS网页布局实例：十步学会用CSS建站

·《侠盗车手3：罪恶都市》秘密地方 - 技巧心得

·不怕攻击家庭上网必学八招安全绝招

·《牧场物语》心得合集(gba) - 牧场物语攻略秘籍 - 牧场物语

·Photoshop实例：制作超酷影片画面场景

·Photoshop精细抠像实例

·Photoshop实例：调出漂亮MM的唯美效果

·ASP.NET上传文件的实例

·3DS Max特效片头精彩实例——星光灿烂

Win2000中几个攻击实例成败心得相关软件：

·中文版Excel 2003实例与技巧

·Flash MX 动画制作实例教程

·CorelDraw12 入门与实例（图文教程菜鸟先飞系列教材）

·中文版 AutoCAD2004 应用实例与技巧

·PhotoShop7 设计百例 + 经典实例教程 + 滤镜教学

·6509为主的各种交换机网络配置实例(图)

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.net

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot