Lorsque personne n'est connecté à Windows, (l'écran de connexion s'affiche) sous quel utilisateur s'exécutent les processus actuels? (Les pilotes vidéo / audio, la session de connexion, tout logiciel serveur, les contrôles d'accessibilité, etc. Ils ne peuvent pas être un utilisateur ou un utilisateur précédent car personne n'est connecté. Qu'en est-il des processus qui ont été démarrés par un utilisateur mais continuent à s'exécutent après la fermeture de session? (Par exemple, les serveurs HTTP, FTP et autres éléments de mise en réseau.) Basculent-ils vers le compte SYSTEM? Si un processus démarré par l'utilisateur bascule vers SYSTEM, cela indique une vulnérabilité très grave. Le processus s'exécute-t-il en tant qu'utilisateur continuer à fonctionner en tant qu'utilisateur après s'être déconnecté?
Est-ce pour cela que le hack SETHC vous permet d'utiliser CMD en tant que SYSTEM?
Réponses:
Presque tous les pilotes s'exécutent en mode noyau ; ils n'ont pas besoin de compte, sauf s'ils démarrent des processus de l'espace utilisateur. Les quelques pilotes de l'espace utilisateur s'exécutent sous SYSTEM.
La session de connexion, je ne peux pas la vérifier pour le moment, mais je suis sûr qu'elle utilise également SYSTEM. Vous pouvez voir logonui.exe dans Process Hacker ou SysInternals ProcExp . En fait, vous pouvez tout voir de cette façon.
"Logiciel serveur", voir les services Windows ci-dessous.
Il en existe trois sortes:
Processus "d'arrière-plan" clairs et anciens. Ceux-ci s'exécutent sous le même compte que celui qui les a démarrés et ne s'exécutent pas après la déconnexion. Le processus de déconnexion les tue tous.
"HTTP, serveurs FTP et autres éléments de mise en réseau" ne s'exécutent pas en tant que processus d'arrière-plan standard. Ils fonctionnent comme des services.
Processus "service" Windows. Ceux-ci ne sont pas lancés directement, mais via Service Manager. Par défaut, les services s'exécutent en tant que LocalSystem (ce qui, selon Isanae, est égal à SYSTEM), bien qu'ils puissent avoir des comptes dédiés configurés.
(Bien sûr, pratiquement personne ne dérange. Il suffit d'installer XAMPP ou WampServer ou d'autres conneries, et de le laisser fonctionner en tant que SYSTEM, sans correction pour toujours.)
Sur les systèmes Windows récents, je pense que les services peuvent également avoir leurs propres SID, mais encore une fois, je n'ai pas encore beaucoup recherché.
Tâches planifiées. Celles-ci sont lancées par le service "Task Scheduler" "en arrière-plan", et s'exécutent toujours sous le compte configuré dans la tâche (généralement celui qui a créé la tâche).
Ce n'est pas une vulnérabilité car vous devez déjà avoir des privilèges d'administrateur pour installer un service. Les privilèges d'administrateur vous permettent déjà de faire pratiquement tout.
(voir aussi diverses autres non-vulnérabilités du même type)
la source
Les processus de connexion et de pré-connexion s'exécutent tous en tant que SYSTEM (également appelé LocalSystem). En fait, une façon d'obtenir un shell (tel qu'une invite CMD) s'exécutant en tant que SYSTEM sur certaines versions de Windows consiste à remplacer un programme d'accessibilité, tel que le lecteur d'écran, la loupe ou le clavier à l'écran, par une copie de (ou lien vers)
CMD.EXE
, puis utilisez le raccourci pour activer cette fonctionnalité d'accessibilité avant de vous connecter. Vous obtiendrez une invite de commande, même si aucun utilisateur n'est connecté, etCMD
vous exécuterez en tant que SYSTEM.(Remarque: cela est dangereux, évidemment, car il permet aux gens de contourner le processus de connexion Windows. Vous ne devez jamais configurer un ordinateur de cette façon, puis le laisser comme ça.)
la source
Ils ne "passent" à rien; ces processus ne s'exécutent jamais dans le contexte utilisateur actuel.
Ils appartiennent à l'
SYSTEM
utilisateur.Tous les processus et services appartenant à un utilisateur individuel sont interrompus lors de la déconnexion.
C'est ce que signifie la déconnexion .
la source
ps
un autre