如何獲得trustedlnstaller權(quán)限(trusted installer權(quán)限怎么獲取)

發(fā)布時間：2024-03-10

本文主要介紹如何獲得可信安裝程序權(quán)限(如何獲得可信安裝程序權(quán)限)，下面一起看看如何獲得可信安裝程序權(quán)限(如何獲得可信安裝程序權(quán)限)相關(guān)資訊。
本文將帶你了解ti的本質(zhì)是什么，并進一步探討如何借助powershell和ntobjectmanager模塊獲取ti權(quán)限，從而在操作系統(tǒng)中完成你想要的任何操作。
如果您曾經(jīng)管理過windows系統(tǒng)，那么您應(yīng)該知道trustedinstaller(ti)組的概念。對系統(tǒng)文件和注冊表的大多數(shù)操作都需要ti組權(quán)限。例如，您可以查看system32文件夾中文件的屬性。在安全選項下，ti和文件所有者可以刪除和修改文件(甚至管理員也可以 t)，所以你可以 不要直接修改安全選項。
但是，如果您查看本地用戶和組選項，您可以 找不到ti用戶或組。本文將帶你了解ti組的本質(zhì)，進而進一步了解如何借助powershell和ntobjectmanager模塊獲得ti組的權(quán)限，從而在操作系統(tǒng)中完成任何你想要的操作。
什么是可信安裝程序？
如果ti既不是用戶也不是群體，那它是什么？查詢acl會給我們一些啟示。您可以使用getacl命令來讀取文件的安全描述，并且我們可以列出ti信息。
從上圖可以看出，我們看到identityreference項中的ti組，它的前綴是nt service。因此，它是一個windows服務(wù)sid，是vista中添加的功能。此功能允許操作系統(tǒng)上運行的每個服務(wù)都有一個權(quán)限檢查組。通過這種機制，操作系統(tǒng)不必承擔(dān)額外增加獨立實組的成本。
sid本身是大寫的服務(wù)名的sha1值，下面的代碼可以計算實際的sid值:
一個
2
三
四
五
六
七
八
九
$ name = 可信安裝商
#計算服務(wù)sid
$bytes = [text。encoding]:: unicode . getbytes(＄name。toupper())
$ sha1 =[系統(tǒng)。security . cryptography . sha1]: : cr::blockcopy($hash，0，$rids，0，$ hash。長度)
[string]:: format( 80{ 0 }{ 1 }{ 2 }{ 3 }{ 4 } , `
$rids[0]，$rids[1]，$rids[2]，$rids[3]，$rids[4])
當(dāng)然，你不知道。;你不必自己實現(xiàn)這個方法。ntdll中有一個rtlcreateservicesid方法可以做到這一點，lsass也可以將服務(wù)名轉(zhuǎn)換成sid。換句話說，當(dāng)系統(tǒng)資源發(fā)生變化時，一定會運行一個名為trustedinstall的系統(tǒng)服務(wù)。我們也可以通過使用sc模塊來找到這一點。
如果我們打開ti服務(wù)并查看訪問令牌，我們可以看到ti組已啟用。
背景知識到此結(jié)束。如果我們是管理員，如何使用trustedinstaller？
成為值得信賴的安裝商
如果您搜索了如何刪除ti擁有的資源，您一般會得到這樣的結(jié)果:它會告訴您首先獲取文件或密鑰的所有權(quán)，然后更改dacl以添加管理員組。這是因為即使是與ifileoperation uac com兼容的組件，通常也不會自動運行，會彈出如下對話框:
改變系統(tǒng)文件的權(quán)限真的不是一個好主意。如果你做錯了，你會暴露操作系統(tǒng)給eop，尤其是目錄。explorer可以輕松地將所有子文件和文件夾的安全屬性更改為初始值。當(dāng)然ti會阻止你這么做，但總有人出于某種目的想這么做。
您可能會想，我可以將當(dāng)前用戶添加到ti組?？上駈etlocalgroupaddmembers這樣的lsass api不使用sid，修改注冊表值nt service\trustedinstaller也是無效的。因為它根本不是一個真正的群，是用其他方法創(chuàng)建的。也許你可以通過念一個魔法咒語來做到，或者至少使用底層的rpc調(diào)用，但是我不這么做。;我不認(rèn)為它 這是值得的。
因此，修改ti服務(wù)設(shè)置的最快方法是通過更改設(shè)置來運行另一個二進制文件。奇怪的是，ti服務(wù)使得系統(tǒng)上的文件很難被隨意修改，但它并不保護自己，修改的操作只需要一個普通管理員的權(quán)限就可以完成。所以你可以使用下面的命令來刪除任何文件。
一個
sc config trustedinstaller binpath = cmd.exe/c del路徑\到\文件
啟動ti服務(wù)，文件嗖的一聲就沒了。這個命令能夠生效的另一個原因是ti不是受保護的進程燈(ppl)，這也是一件奇怪的事情，因為ti組被賦予了刪除和停止ppl服務(wù)的權(quán)利。我向msrc指出了這一點(2013年亞歷克斯·洛內(nèi)斯庫也指出了這一點)，但微軟沒有采取任何措施來解決這個問題。似乎微軟并不 我也不認(rèn)為ppl是一個安全的界限。
完成上述操作后，您必須將ti服務(wù)恢復(fù)到原始狀態(tài)，否則windows update等服務(wù)將無常工作。既然ti服務(wù)有一個令牌，我們可以借用這個令牌來創(chuàng)建一個新的進程嗎？
作為管理員，我們可以調(diào)用sedebugprivilege函數(shù)來打開ti進程及其令牌。那么我們可以做任何事情，試試看:
it 很簡單。it 是時候嘗試ti的其他操作了。
嗯，看來我們可以 不要使用這個標(biāo)記來創(chuàng)建或模擬一個進程，這樣不好。我們可以在上圖底部看到原因。我們只有token_query的特權(quán)，但是我們至少需要token_duplicate的特權(quán)來獲得創(chuàng)建新進程所需的令牌。檢查令牌的安全描述，并使用進程黑客找出為什么我們的訪問權(quán)限如此之低(我們不 甚至沒有讀控制權(quán)限)。
如您所見，administrator組只有token_query權(quán)限。這與我們通過token獲得的訪問權(quán)限是一致的。你可能想知道為什么sedebugprivilege不 t生效，因為調(diào)試權(quán)限只繞過進程和線程對象的安全檢查，它不會 不要用token做任何事情，因為我們可以。;得不到它的幫助。這似乎有點麻煩，但不是 除了修改服務(wù)二進制文件的暴力操作之外，還有其他方法可以達到目的嗎？
當(dāng)然不是。有一些例子來說明我們?nèi)绾文苁挂粋€類似ti的服務(wù)運行。一般來說，我們可以安裝一個服務(wù)來運行代碼，然后ti令牌，最后創(chuàng)建一個新的進程。很容易理解，如果我想創(chuàng)建一個服務(wù)，我只需要修改可信安裝程序服務(wù)。
因此，有兩種非常簡單的方法可以繞過這種權(quán)限限制，并且不需要任何新的或修改的或代碼注入的服務(wù)。讓 讓我們先來看看創(chuàng)建新流程的問題。一個流程的父流程會調(diào)用createprocess，這是對的。對于uac來說，這將提升子進程的權(quán)限，這似乎有點奇怪。為了支持微軟推出的vista中的最小特權(quán)原則，在創(chuàng)建新進程時明確指定一個父進程，這樣特權(quán)增強的進程仍然是調(diào)用者的子進程。
通常，當(dāng)uac打開時，您可以顯示指定新進程的令牌。但是，如果不指定令牌，新進程將從父進程繼承令牌。所以我們這樣做的唯一要求就是獲得父進程句柄的process_create_process權(quán)限。由于我們已經(jīng)擁有了sedebugprivilege的特權(quán)，所以我們可以獲得ti進程的全部特權(quán)，包括創(chuàng)建它的子進程的特權(quán)。這樣做的額外好處是，在內(nèi)核中創(chuàng)建進程的代碼甚至?xí)苯訉⒄_的會話id分配給調(diào)用者，這樣就可以創(chuàng)建交互式進程。我們利用這個特性，通過newwin32process使用ti服務(wù)的令牌在當(dāng)前桌面上創(chuàng)建一個任意進程，并通過parentprocess參數(shù)傳入process對象。
在不創(chuàng)建新進程的情況下模擬令牌也很有用。有什么辦法可以實現(xiàn)嗎？是的。我們可以使用ntimpersonatethread api，它允許從現(xiàn)有線程中捕獲上下文，并可以應(yīng)用于另一個線程。模擬上下文的過程是內(nèi)核首先嘗試捕獲線程的令牌。如果線程沒有令牌，內(nèi)核將通過模擬復(fù)制與線程相關(guān)的進程的令牌。ntimpersonatethread api的美妙之處在于，當(dāng)設(shè)置父進程時，您不需要 不需要訪問令牌。它只需要thread_direct_impersonation來訪問一個線程，我們只能通過使用sedebugprivilege來實現(xiàn)。因此，不生成新進程的模擬線程可以通過以下步驟獲得:
至少使用process_query_information權(quán)限打開一個進程，并枚舉其線程。
使用thread_direct_imp測試與他們的資源進行交互，比如使用沙盒工具來獲取他們所擁有的資源，你可以使用本文提到的方法。
了解更多如何獲得可信安裝程序權(quán)限(如何獲得可信安裝程序權(quán)限)相關(guān)內(nèi)容請關(guān)注本站點。