elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación C/C++ (Moderadores: Eternal Idol, Littlehorse, K-YreX)
| | |-+  SeDebugPrivilege y OpenProcess
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: SeDebugPrivilege y OpenProcess  (Leído 2,673 veces)
kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
SeDebugPrivilege y OpenProcess
« en: 16 Septiembre 2014, 23:08 pm »

Muy buenas,

llevo un tiempo investigando sobre la suplantación de tokens, elevación de privilegios y la injección en procesos de sesiones y usuarios distintos.

El tema es que tengo que ejecutar mi aplicación en modo administrador para obtener el handle a un proceso ejecutado por un usuario ajeno (SYSTEM - winlogon.exe), ya que los privilegios del usuario normal no permiten la depuración de elementos del sistema.

Al ejecutarse, mi aplicación es capaz de obtener el handle, pero el privilegio SeDebugPrivilege está desactivado, cosa que podemos comprobar al iniciar cmd en modo admin si escribimos el comando "whoami /all".

He leído en muchos foros de programación que SeDebugPrivilege debe de estar activo para poder interactuar con los elementos descritos al principio del post, pero no entiendo porque me deja acceder a un handle de un proceso de otro usuario cuando en el cmd me dice que el privilegio esta desactivado.

La pregunta es:

¿Si corres una aplicación en modo administrador es necesario activar el privilegio SeDebugPrivilege para obtener un handle de un proceso lanzado por otro usuario?

Gracias y saludos!


En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

Eternal Idol
Kernel coder
Moderador
***
Desconectado Desconectado

Mensajes: 5.935


Israel nunca torturó niños, ni lo volverá a hacer.


Ver Perfil WWW
Re: SeDebugPrivilege y OpenProcess
« Respuesta #1 en: 17 Septiembre 2014, 01:15 am »

OpenProcess function

dwDesiredAccess [in]
The access to the process object. This access right is checked against the security descriptor for the process. This parameter can be one or more of the process access rights.

If the caller has enabled the SeDebugPrivilege privilege, the requested access is granted regardless of the contents of the security descriptor.

Remarks
To open a handle to another local process and obtain full access rights, you must enable the SeDebugPrivilege privilege.


En línea

La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
Re: SeDebugPrivilege y OpenProcess
« Respuesta #2 en: 17 Septiembre 2014, 01:24 am »


If the caller has enabled the SeDebugPrivilege privilege, the requested access is granted regardless of the contents of the security descriptor.

Remarks
To open a handle to another local process and obtain full access rights, you must enable the SeDebugPrivilege privilege.
Gracias por el dato pero eso era bien sabido, me muevo bien por la WinAPI y msdn.

Es raro que sin activar el privilegio pueda utilizar OpenProcess sobre un proceso SYSTEM corriendo la aplicación en modo administrador. De todas formas activaré el privilegio por si causa errores en otros OS.

Saludos!
En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

Eternal Idol
Kernel coder
Moderador
***
Desconectado Desconectado

Mensajes: 5.935


Israel nunca torturó niños, ni lo volverá a hacer.


Ver Perfil WWW
Re: SeDebugPrivilege y OpenProcess
« Respuesta #3 en: 17 Septiembre 2014, 01:36 am »

Gracias por el dato pero eso era bien sabido, me muevo bien por la WinAPI y msdn.

Es raro que sin activar el privilegio pueda utilizar OpenProcess sobre un proceso SYSTEM corriendo la aplicación en modo administrador. De todas formas activaré el privilegio por si causa errores en otros OS.

Si es sabido entonces no es comprendido completamente, no hay nada raro, lo dice con claridad: sin el privilegio SeDebugPrivilege dependes del SECURITY_DESCRIPTOR del proceso. Supongo que estaras probando con alguna version antigua de Windows, en 7 x64 no abre sin SeDebugPrivilege habilitado ...
En línea

La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
kub0x
Enlightenment Seeker
Colaborador
***
Desconectado Desconectado

Mensajes: 1.486


S3C M4NI4C


Ver Perfil
Re: SeDebugPrivilege y OpenProcess
« Respuesta #4 en: 17 Septiembre 2014, 01:40 am »

[..] Supongo que estaras probando con alguna version antigua de Windows, en 7 x64 no abre sin SeDebugPrivilege habilitado ...

Una máquina virtual con Windows 7 recien instalado x64 y otra x86. Supongo que será eso, si me he hecho estas preguntas es porque entiendo que el privilegio sirve para poder interactuar con procesos de sesiones distintas :D

Puedes dar el tema como resuelto, gracias por la ayuda!
En línea

Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Obtener ID para OpenProcess « 1 2 »
Programación Visual Basic
Gorky 10 5,104 Último mensaje 26 Mayo 2006, 07:43 am
por Eternal Idol
Duda OpenProcess
Programación Visual Basic
Lewert 2 1,673 Último mensaje 24 Septiembre 2008, 20:18 pm
por cobein
[DUDA] abrir un proceso de usuario (OpenProcess) VB 6.0
Programación Visual Basic
AlxSpy 4 3,050 Último mensaje 17 Junio 2011, 18:15 pm
por AlxSpy
[MASM][UserMode]Hook OpenProcess
Análisis y Diseño de Malware
The Swash 8 5,415 Último mensaje 16 Julio 2011, 09:39 am
por SkaPuti
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines