Как запустить gui приложением на рабочем столе из-под пользователя NT AUTHORITY\SYSTEM?

Question

[nexus0]

Вот есть программа. Она работает под пользователем NT AUTHORITY\SYSTEM. Как ей запустить gui приложение, так чтобы с ним можно мог взаимодействовать обычный пользователь?

Answer 1

[15432]

Жесть. У system по умолчанию вообще нет подсистемы GUI, потому запустить такую штуку можно лишь через задницу, а именно, пробрасывая все запросы API через локальный сетевой туннель (из-за чего обязательно наличие хотя бы одного сетевого адаптера). Гуглите программу PsExec от Sysinternals. Конечно же программа должна быть чисто на C++/WinApi, дотнеты не пробовал, но вряд ли проканают.

P.S. а сейчас вы как запускаете программу от имени системы? Как сервис чтоли?

P.P.S. в теории, если вы уж в ядро системы залезли, можно "создать" процесс от имени любого юзера (ntkernel - CreateProcess), но у него не будет прав системы. Такого не делал, тут не подскажу

Comments

[nexus0]

psexec пробрасывает все запросы API через локальный сетевой туннель? Это же можно как-то реализовать без него?

Да, как сервис запускается

[15432]

nexus0, неа, там фишка именно в том, что сам psexec от юзера запущен. А у вас весь код в системе, где нет gui.
И даже если б был gui, какому юзеру его показывать? Система пашет в сессии 0, а юзеры - в сессиях 1, 2, 3...
Короче остается читерство с запуском нужного процесса юзеру насильно, из-под сервиса

[nexus0]

15432, я запускал psexec от пользователя system и окно нового процесса отображалось на рабочем столе.
Вот пример psexec -s -i 1 C:\Windows\system32\cmd.exe, работает из-под пользователя система. Мне бы узнать как psexec это делает, и в дальнейшем обойтись без него.

[nexus0]

15432, где можно почитать об этих сессиях? Что-то не гуглиться.

[15432]

nexus0, я уже сказал как это делается. по сети на 127.0.0.1 программа подключается к этому же компьютеру и от имени пользователя "система" запускает программу. из-под сервиса такое не повторить.

про устройство винды Марк Русинович много писал (автор psexec в том числе).

[nexus0]

15432, так сервис это и есть пользователь "система"? Разве нет?

[nexus0]

15432, огромное спасибо! Нашел книгу ту самую книгу Русиновича, которой давно не хватало

[15432]

nexus0, сервис это некоторая программа, запущена от имени системы и только. PsExec же запускает программу под учеткой пользователя, но от имени системы, с её правами. И программа запускается в окружении сессии #1, того самого пользователя.
Сервис же не может сам по себе вылезти из сессии #0

[nexus0]

15432, а к какому порту подключается psexec на localhost? Можно чуть подробней как это происходит? Или можете подсказать где это можно найти?

[15432]

nexus0, дизассемблер в руки и вперед :)

[nexus0]

15432, хорошо) спасибо за помощь)

Answer 2

[fpir]

Если смысл, как пользователю запустить программу под другим пользователем, то runas , иначе я не понял вопроса.
UDP
Да, работает как и ожидалось, надо runas /user:%COMPUTERNAME%\%USERNAME% cmd.exe
да, запросит пароль текущего пользователя, если нет пароля-примет пустой, кривовато конечно. Может знает кто, как изящнее скрипту запустить процесс от текущего пользователя, если сам скрипт работает от system?

Comments

[nexus0]

Не работает, просит пароль, пароль не стоит, пустой пароль там для ввода не допускается.

[fpir]

бр, пройдите по ссылке, там-же вроде есть про пароль(честно говоря не читал, привёл первую в гугле на русском языке). На сайте мелкомягких детальное описание. Прописывать можно не через батник, а прямо в свойствах ярлыка. И да, это жутко несекьюрно.

[nexus0]

fpir, ну мне не нужны ярлыки. Есть процесс который работает под NT AUTHORITY\SYSTEM. Ему нужно запустить другой процесс в интерактивном режиме(чтобы пользователей мог взаимодействовать с окном процесса)

[nexus0]

fpir, вот нашел одно из решений моей проблемы с помощью psexec. Запускает cmd.exe на рабочем столе пользователя psexec -s -i 1 C:\Windows\system32\cmd.exe

[АртемЪ]

nexus0, Какой рабочий стол может быть у NT AUTHORITY\SYSTEM ?
Приложение запустить можно, но на рабочем столе его не будет, ибо нет его.

Если вам нужно чтобы отображалось на рабочем столе - запускайте от пользователя.

[nexus0]

АртемЪ, от другого пользователя? runas? Он запрашивает пароль, я пока не разобрался как его обойти.

[Ezhyg]

nexus0, запускай через "Планировщик заданий".

[fpir]

нет, runas, похоже не для этого кейса, но там с паролем всё просто

runas /savecred /user:Администратор C:\scripts\who-amdmin.bat - запуск от имени администратора командного файла who-amdmin.bat, находящегося в папке C:\scripts. При первом запуске будет запрошен пароль Администратора, при последующих запусках ( с параметром /savecred ) - ввод пароля не требуется

[nexus0]

fpir, какой еще пароль? У меня ведь нет пароля, а пустой пароль нельзя вводить

[АртемЪ]

nexus0, Зачем от другого? Если вам нужно взаимодействовать с рабочим столом, запускайте от этого го же пользователя, который залогинен в систему. Никакого пароля для залогиненого пользователя не нужно.

[nexus0]

АртемЪ, как это сделать? Если запускаю какой-то процесс, его окно не появляется на рабочем столе.

[АртемЪ]

nexus0, Если окно не появляется на рабочем столе, значит не от того пользователя запустили.
Выбирайте запуск от пользователя который вошел в систему, тогда окно будет видно, и пароль не нужен будет.

[fpir]

Есть некий процесс, который должен запустить другой процесс, как это сделать?
Спросите у разработчика процесса. Например есть процесс regedit, что мне сделать, что-бы он запустил процесс scandisk? Об этом может знать только разработчик. Если такое действие им предусмотрено оно им-же должно быть задокументировано. Ну или декомпилируйте и добавьте свой функционал. Вам-же надо чтобы некий процесс, запускал другой-ответ: неким образом
А мы вам пытаемся о стандартных процессах винды рассказывать
.

[АртемЪ]

Галка - выполнять только для пользователей вошедших в систему.

[nexus0]

fpir, да это условно-моя программа. Она netcat'ом дает мне реверс-cmd.exe с правами NT AUTHORITY\SYSTEM. Вот мне надо мне как-то нужно запустить другой процесс(например браузер) в интерактивном режиме.

[nexus0]

АртемЪ, как выбрать этот запуск?

[nexus0]

Извините, отойду на часа 2

[fpir]

Или есть процесс, который по умолчанию запускается от system, как запустить его от пользователя? Я-ж говорю, что непонятно нихрена.

[nexus0]

fpir, ладно. Вот запущена командная строка(cmd.exe) от пользователя system(через службы windows). Как с помощью нее запустить процесс в интерактивном режиме?

[fpir]

Вот это как раз про runas, только пользователь должен быть %USERNAME% и если у него есть пароль-то пусть и вводит, на ваше усмотрение, один раз или всё время, а если нет-должен схавать пустой. Наверно...

[nexus0]

fpir, не хватает пустой, говорит, нельзя пустой пароль

[АртемЪ]

Вот запущена командная строка(cmd.exe) от пользователя system(через службы windows). Как с помощью нее запустить процесс в интерактивном режиме?

Никак, это невозможно.

[АртемЪ]

nexus0,

как выбрать этот запуск?

В планировщике задач поставить галку - "выполнять только для пользователей вошедших в систему"

[nexus0]

АртемЪ, а может есть способы без планировщика задач типа как psexec? Не знаете таких?

[fpir]

Вот причём тут psexes?

Программа PsExec — это облегченный вариант Telnet. Она позволяет выполнять процессы в удаленных системах, используя для этого все возможности интерактивного интерфейса консольных приложений, и при этом нет необходимости вручную устанавливать клиентское программное обеспечение.

[fpir]

АртемЪ, Ну, говорят, в ХР работало, и работает в семёрке, если UAC отключить

[fpir]

а окна запущенного run не видно, говорите?

[АртемЪ]

nexus0, Ну если без планировщика - просто из батника вызовите приложение.

[nexus0]

fpir,

Вот причём тут psexes?

вот, работает так
psexec -s -i 1 C:\Windows\system32\cmd.exe
Вызывает cmd.exe на рабочем столе пользователя

[nexus0]

АртемЪ, а что в батнике должно быть написано?

[nexus0]

АртемЪ, возможно, смотрите ответ fpir'у про psexec, проверил.

[АртемЪ]

nexus0, Просто путь к исполняемому файлу и все.

[nexus0]

АртемЪ, так еще раз, у меня есть cmd.exe по netcat'у. Я в нем системный пользователей. Разве когда я запущу батник в котором указан путь к исполняемоему файлу, он запустится в интерактивном режиме на рабочем столе пользователя?

[АртемЪ]

nexus0, Я не знаю что такое "cmd.exe по netcat'у"

Если вы в батнике напишите C:\Windows\notepad.exe, то на рабочем столе откроется блокнот.

[fpir]

АртемЪ, с тем приколом, что он будет запущен от системы, а не от пользователя, не комильфо.
Скорее, всё-ж, runas /trustlevel