Wenn niemand bei Windows angemeldet ist (der Anmeldebildschirm wird angezeigt), unter welchem Benutzer werden die aktuellen Prozesse ausgeführt? (Die Video- / Audiotreiber, Anmeldesitzungen, jegliche Serversoftware, Eingabehilfen usw. können keine Benutzer oder Vorgänger sein, da niemand angemeldet ist. Was ist mit Prozessen, die von einem Benutzer gestartet wurden, aber weiterhin ausgeführt werden?) Nach dem Abmelden ausführen (z. B. HTTP, FTP-Server und andere Netzwerkkomponenten) Wechseln sie zum SYSTEM-Konto Wenn ein vom Benutzer gestarteter Prozess zu SYSTEM wechselt, weist dies auf eine sehr schwerwiegende Sicherheitsanfälligkeit hin. Wird der Prozess als dieser Benutzer ausgeführt weiterhin als dieser Benutzer ausgeführt werden, nachdem sie sich abgemeldet haben?
Ermöglicht Ihnen der SETHC-Hack, CMD als SYSTEM zu verwenden?
Antworten:
Fast alle Treiber werden im Kernel- Modus ausgeführt. Sie benötigen kein Konto, es sei denn, sie starten Userspace-Prozesse. Die wenigen User-Space-Treiber laufen unter SYSTEM.
Die Anmeldesitzung kann ich momentan nicht überprüfen, aber ich bin sicher, dass sie auch SYSTEM verwendet. Sie können logonui.exe in Process Hacker oder SysInternals ProcExp sehen . In der Tat können Sie alles so sehen.
"Serversoftware", siehe Windows-Dienste unten.
Hier gibt es drei Arten:
Einfache alte "Hintergrund" -Prozesse. Diese werden unter demselben Konto wie derjenige ausgeführt, der sie gestartet hat, und nicht nach dem Abmelden. Der Abmeldeprozess beendet sie alle.
"HTTP-, FTP-Server und anderes Netzwerkmaterial" werden nicht als reguläre Hintergrundprozesse ausgeführt. Sie laufen als Dienste.
Windows "Service" -Prozesse. Diese werden nicht direkt, sondern über den Service Manager gestartet. Standardmäßig werden Dienste als LocalSystem ausgeführt (was laut Isanae SYSTEM entspricht), obwohl für sie dedizierte Konten konfiguriert werden können.
(Natürlich stört praktisch niemand. Sie installieren einfach XAMPP oder WampServer oder irgendeinen anderen Mist und lassen es als SYSTEM laufen, für immer ungepatcht.)
Ich denke, dass Dienste auf neueren Windows-Systemen auch eigene SIDs haben können, aber auch hier habe ich noch nicht so viel recherchiert.
Geplante Aufgaben. Diese werden vom "Task Scheduler" -Dienst "im Hintergrund" gestartet und immer unter dem in der Aufgabe konfigurierten Konto ausgeführt (normalerweise wer auch immer die Aufgabe erstellt hat).
Dies ist keine Sicherheitsanfälligkeit, da Sie bereits über Administratorrechte verfügen müssen , um einen Dienst zu installieren. Mit Administratorrechten können Sie praktisch alles erledigen.
(siehe auch verschiedene andere nicht verwundbare Stellen der gleichen Art)
quelle
Anmelde- und Voranmeldeprozesse werden alle als SYSTEM (auch als LocalSystem bezeichnet) ausgeführt. Eine Möglichkeit, eine Shell (z. B. eine CMD-Eingabeaufforderung) unter einigen Windows-Versionen als SYSTEM auszuführen, besteht darin, ein Eingabehilfenprogramm (z. B. den Bildschirmleser, die Bildschirmlupe oder die Bildschirmtastatur) durch eine Kopie von (oder zu ersetzen Verknüpfen Sie mit)
CMD.EXE
, und aktivieren Sie diese Eingabehilfenfunktion vor dem Anmelden über die Verknüpfung. Sie erhalten eine Eingabeaufforderung, obwohl keine Benutzer angemeldet sind undCMD
als SYSTEM ausgeführt werden.(Hinweis: Dies ist natürlich gefährlich, da dadurch der Windows-Anmeldevorgang umgangen werden kann. Sie sollten niemals einen Computer auf diese Weise konfigurieren und ihn dann so belassen.)
quelle
Sie "wechseln" zu nichts; Solche Prozesse werden niemals im aktuellen Benutzerkontext ausgeführt.
Sie gehören dem
SYSTEM
Benutzer.Alle Prozesse und Dienste, die einem einzelnen Benutzer gehören, werden beim Abmelden beendet.
Das bedeutet Abmelden .
quelle
ps
als einen anderen