2009年6月25日 星期四

Duplicate User Token

-------December 13,2009

由于blog长期没有维护,之前那篇文章广告积累过多
再加上blogger的删除评论功能又很纠结。

故决定删除原文,重新发布此文

此次发布,未对文章内容进行修改
现在看来,之前这篇文章真的是没有什么效用
而且还有很多疏漏与不当之处
许多地方都很繁琐。

不过,作为我成长过程的一个记录,还是保留下来吧。
---------------------------

新本入手,Vista体验中...
体验过程中发现过去一直在使用的一段代码已经不奏效了。
既然如此,那么公开出来也无妨。
看来Agent Starter就要迎来又一次久违的大改了。
这回比较懒,我就不修改、注释了,也没有处理错误,有疑问,可留言。

功能:在当前进程为SYSTEM权限时,绕过密码登陆,获取当前已登录用户的Token。此Token可用于CreateProcessAsUser。

返回值:成功则是HANDLE,失败返回0.

Story:

在当前进程为SYSTEM权限时,由于CreateProcess等函数创建进程时父进程的权限会被子进程所继承,并且子进程也会登录为系统用户,容易造成子进程在获取用户设置时出错。目前已知CreateProcessAsUser和CreateProcessWithLogonW可以创建不同于父进程用户的子进程。但是由于CreateProcessAsUser所用的Token需要通过LogonUser 获得,而CreateProcessWithLogonW与LogonUser均需要用户名与密码才可进行登录,这使得获取Token失去了随意性。

这时,曾经在网上盛传的DuplicateHandle获取进程HANDLE法便可以用来解决问题。已知Token的ObjectNumber为4。所以我们便可以Duplicate其他进程里面的Token用于CreateProcessAsUser,从而免除登陆用户的麻烦。但是我们的Token要从哪里来呢?想想创建taskmgr.exe的是winlogon.exe,而winlogon.exe显示为SYSTEM用户,创建后的taskmgr则为当前用户。想必那里会隐藏着用户Token。打开Process Explorer看看,果真如此。至此,事情就变得简单了。(另外,winlogon里存在多个用户Token,XP SP3里面只有一个可用于我们的CreateProcessAsUser。Vista下没有可以直接用的。打算研究一下DuplicateTokenEx或许能有帮助)

代码:


HANDLE YGetUserToken()
{
      HANDLE ph,h_dup;
      ULONG bytesIO,i,NumOfHandle,WinLogon_id;
      PVOID buf;
      PSYSTEM_HANDLE_INFORMATION h_info;

      CHAR InfoBuffer[1000],szAccountName[200], szDomainName[200];

      DWORD dwInfoBufferSize,dwAccountSize = 200, dwDomainSize = 200;

      bytesIO=0x40000;
      buf = 0;

      WinLogon_id = NametoPid(L"winlogon.exe");
      ph = OpenProcess(PROCESS_DUP_HANDLE,0,WinLogon_id); //YDupHandle(WinLogon_id);

      NtAllocateVirtualMemory((HANDLE)-1, &buf, 0, &bytesIO, MEM_COMMIT, PAGE_READWRITE);

      NtQuerySystemInformation(SystemHandleInformation, buf, 0x40000, &bytesIO);
      NumOfHandle = *(PULONG)buf;
      h_info = ( PSYSTEM_HANDLE_INFORMATION )((ULONG)buf+4);
      int ai=0;

      for (i= 0 ; i<NumOfHandle; i++, h_info++)
      {
            if (h_info->ProcessId==WinLogon_id&&h_info->ObjectTypeNumber == 4)
            {
                  NtDuplicateObject(ph, (PHANDLE)h_info->Handle, (HANDLE)-1, &h_dup,TOKEN_ALL_ACCESS,0,0);
                  PTOKEN_USER pTokenUser = (PTOKEN_USER)InfoBuffer;
                  SID_NAME_USE snu;

                  GetTokenInformation(h_dup,TokenUser,InfoBuffer,1000, &dwInfoBufferSize);

                  LookupAccountSid(NULL, pTokenUser->User.Sid, szAccountName,&dwAccountSize,szDomainName, &dwDomainSize, &snu);

                  if(strcmp(szAccountName,"NT ATHORITY\\\)) //Vista:SYSTEM
                  {
                        printf(szAccountName);
                        if(CreateProcessAsUserW(h_dup,NULL,L"winlogon.exe",NULL,NULL,FALSE,CREATE_SUSPENDED,NULL,NULL,&startupInfo,&ProcessInfo))
                        {
                              TerminateProcess(ProcessInfo.hProcess,0);
                              NtClose(ProcessInfo.hProcess);
                              NtClose(ProcessInfo.hThread);
                              break;
                        }
                  }
                  NtClose(ProcessInfo.hProcess);
                  NtClose(ProcessInfo.hThread);
                  NtClose(h_dup);

                  h_dup=0;
            }
      }
      CreateProcess()
      NtClose(ph);
      bytesIO = 0;
      NtFreeVirtualMemory((HANDLE)-1, &buf, &bytesIO, MEM_RELEASE);
      return h_dup;
}

2009年6月13日 星期六

绿坝娘...

最近大家似乎都在积极S绿坝娘,因为过些日子天我可能也要放血入手台笔记本。还是稍微关注一下好了,因为还是想要等入手了新电脑之后亲自调教一翻的嘛。

设定:
名称:绿坝娘,又叫做绿霸娘或者绿bar娘

属性:天然呆,因为其总是把门钥匙挂在自己胸前.

并且对关键词条总是记混,所以总是和谐错误.并且有轻微色盲

第二属性,千金傲娇,列句:我可是身价4000w万的大小姐.那个不良信息什么的最讨厌了!

绿坝娘会和谐掉一切身材比她好的女性,但是对BL之类的基本全部放行

绿坝娘在班上担任风纪委员,有着过盛的正义感,所以在班上被很多人讨厌.

绿坝娘还养有几只心爱的兔子

隐藏的M属性, 有点诱受无条件让视野内的生物产生推倒她的冲动,虽然看上去强势其实很容易推倒,并且由于过于单纯容易被调教

【转】我与绿坝娘生活的日子
http://acfun.cn/html/art/20090612/33706.html
天空从今天早上开始就阴沉着脸,仿佛预示着有什么不得了的大事即将发生......


如同平日一样回到家,打开心爱的计算姬,正当我准备开启那隐藏着自己那略带变态的爱好却又充满艺术美感的收藏夹时,我在状态栏发现了一个陌生的图标......

把鼠标移到上面一看......

绿坝-花季护航2.541版......

这是什么东西?正当我以为那是平常光顾的奇怪网站送给我的赠品而准备将其删除的时候,一把略带娇涩却又严厉的罗莉音突然从我耳边响起:

“你要是敢卸载的话...人家才不会轻易放过你呢!哼!”

“啊,你误会了,我不是要卸载,而是直接删除哦。”

“哼!还不是一样!像你这种死宅男,如果没有得到管束,就只会一天到晚沉迷于不良网站,到最后只会浪费人参。而我,绿坝娘的职责,就是引导你这种迷途羔羊重返征途,免受砖家叫兽的摧残,现在知道我的伟大了吧。”名叫绿坝娘的小罗莉骄傲地挺起了那连a罩杯都没有的胸脯。

我虽然是一个普通的宅男,但我也是有尊严的。我是宅男,但不是死宅男,对于这样污蔑我的人,即使是眼前这位激萌的罗莉,也要对其施加制裁。

我用食指轻轻地弹了一下绿坝娘的额头,可是,没想到就是那轻轻的一弹,绿坝娘居然会重重地摔倒在地。

莫非这就是传说中的一推就倒?

糟了,玩笑开大了,这时的绿坝娘眼角已经渗出了泪水,我实在太差劲了。就在我打算把眼前这位小罗莉扶起来的时候,我貌似看到了一样不该看的东西。

那是有着蓝白条纹的布制品,我的眼球就这样被吸引住,仿佛此身即将被眼前这片蓝白相间的大海所吞噬一样。不过细心一看,在这蓝白条纹中间似乎印着很多密密麻麻的小字,其中可以模模糊糊地看清其中几个字母:sex、beast、penis......我想,那一定就是传说中能与金A的英雄王的宝藏媲美的,工口网址大全。

“那些小字是什么?”我指着内裤问到。

“变态!痴汉!”绿坝娘顿时满脸通红,双手死死地把裙子盖住。

人们说过,好奇心会害死猫;某宅男说过,好奇心会推倒罗莉。为了满足于自己的好奇心,我必须想出一个可以让她把内裤亲手奉上的方法。

我一边想办法,一边用鼠标打开注册表。



”看看这里。”我指着显示器,绿坝娘听到我的话,好奇地把脸凑上来。

“你的名字存在于我的电脑的注册表里,所以我就是你的主人。那么你的主人在此下令,以后称呼我要叫主人,还有,把内裤给我。”

“开...开什么玩笑,我...我可是...身价4000W的千金小姐,才不会听你这种庶民的话呢!”

“是么?看看这里。”我打开进程,指着用户那一项,“承认现实吧,我正在使用你。”

“无路赛无路赛无路赛!身为护航使者的我这么可能要去做...做这种...H...的事情...“

是么?那么没办法了,对于不听话的萝莉,稍微施以调教是必须的。

我把鼠标移动到桌面的火狐子身上,就在这是,绿坝娘紧紧地抱着我那鼠标的右手,试图在阻止我的行动。

”上网要用IE的啦...火狐子什么的...最讨厌了!“

原来如此,只要我用火狐子你就无能为力了吧。于是我打开火狐子,点击了书签中的X城。当成功连接的一刻,绿坝娘的身体突然抽搐了一下。

”好奇怪....突然有什么东西进来了...“

果然,和我想的一样。于是我接连打开数十个窗口,霎时之间,显示器呈现出一片肉色,绿坝娘的身体不断在发抖。原本正在正打算向我说教的她却因为身体的奇特感觉而发出一阵模糊不清的呻吟。

“讨厌......要进来了......咿呀呀呀呀呀呀.....”

尽管这种声音早就隔着显示器听了无数次,但没想到居然能够在3次元真实地听到,而且,这种声音还是在我的亲手调(河蟹)教下被创造出来的。

“不行了...喉咙好渴...身体不听使唤...”早已因为被大量工口网站攻入而变得脸色潮红的绿坝娘,此刻正像一滩烂泥一样倒在我的怀中。

“你不是帮我重返正途的河蟹使者吗?为什么在会在看完工口网站之后露出如此YD的表情...啊,我知道了,你其实就是个工口女!“

”才不是你说的那样呢...刚才只是意想不到你会这样做而已,下次...下次绝对不会让你得逞的,工口什么的最讨厌了!!“

”下次?原来你在期待这个啊,真是个工口娘呢,好吧,这次会令你更舒服的。“

”你要...干什么?"绿坝娘喘着气,双手无力地拽着我的衣袖。

我打开绿坝的原文件夹,找到了system32XDaemon.exe和Xnet2.exe文件。我将这2个文件粉碎以后,绿坝娘的衣服突然消失了。

“呜哇!人家的保护进程。"绿坝娘双手捂着胸前,用敌视的眼光看着我。

我随便打开一个dat文件,胡乱的篡改其中的内容。

“呜......嗯.....嗯.....嗯....."一阵又一阵的呻吟声不断刺激着我的大脑,我加快了篡改文件的速度。

”呜....不行....要坏掉了....呜......还想要.....“这时的绿坝娘已经开始语无伦次了,汗水濡湿了洁白的兔子内衣,我甚至能看请里面的内容。她的身体扭曲着,喘息的间隔也变得越来越短。

”啊啊阿啊阿~~不行了......“

====================

以下内容已被绿坝娘所屏蔽

====================

看着躺在地上已经被玩坏的绿坝娘,我产生了一丝痛惜之心,我把备份好的文件重新覆盖,原本已经奄奄一息的绿坝娘突然重新恢复活力,”咚“的一声坐起来,用力地提起我的衣领。

”刚才所受的耻辱,我现在要一次过向你报复!“

”你有说这话的资本吗?“我指着被打开的WINDOWSsystem32kwpwf.dll文件。

”你的密码已经被我改了,也就是说从现在开始,我能够随意地玩弄你的身体。“

”怎么会...“面对眼前铁一般的现实,绿坝娘失去了原本的傲气,松开了双手,无力地跪倒在地上。

”那么...试着叫我主人吧。“

”是的...主...主人大人,以后请手下留情。“

”那么,我现在想要你的内裤。“

”开什么玩笑!我才不要....“

”哦?难道你还想体验刚才的快感?“

“知...知道了。主人,我要脱内裤了,请把脸转过去...”绿坝娘放弃了最后的抵抗。

虽然我很想观看她的脱衣秀,但细心一想,这样做的话我和夜X病栋、黑X圣经里的人渣又有什么差别呢?于是我乖乖的转过身,等待眼前的小罗莉脱下内裤。

“主人...请...请收下这个...”

我转过身,绿坝娘单手捂着裙子,用另一只手把内裤递给我。

这就是传说中最新最全的工口网址大全啊,有了这个,我就是新世界的神了。

“呜...下面凉飕飕地,感觉好奇怪...”

这样的确太可怜了,于是我从衣柜里拿出一条我自己的内裤,递给绿坝娘。

“拿去吧,快点穿上,不要着凉了。”

“笨蛋!谁...谁要穿曾经沾上奇怪液体的内裤啊!”

“这是主人的命令。”

“呜...”绿坝娘很不情愿地接过我的内裤,在我转过身后快速的将其穿上。

“感觉怎样,会不会太大?”我轻轻地抚摸着绿坝娘的额头。

“有一点松...不过..很温暖...”

就这样,我与绿坝娘一起生活的日子,在这里拉开了序幕。

2009年6月4日 星期四

大牛?不过如此

事情最初是来自MJ0011大牛这样一篇文章:《短短数行代码让很多号称驱动级的强删文件工具失效》文中提及,其中用到的是大牛在08年爆出的一项技术。
但是不久后,我很意外地看到了me1_j3x在2006年写到的《关于"NTFS格式分区"的硬连接问题及相关》,我到底是初于什么样心理呢?或许是略带鄙视吧,我匿名在大牛的文章里做了评论。
------------------------------------------------------------------------------
20# 匿名网友:
人家在06年就有过的思路了
hi.baidu.com/j3x_wsh/blog/item/55d6c4164655d518962b4345.html

21# mj0011:
过得思路在哪?楼上的脑残吧。

22# 匿名网友:
是‘有过/的思路’,不是‘有/过的思路’,LS注意断句。

------------------------------------------------------------------------------
然后呢?今天,原文中的20~22楼均已被删除,所谓大牛,不过如此,这样两句小小的评论都无法面对。
不过这有算得了什么呢?我们的祖国大人不是也&*(……*&%……&*么?

2009年6月2日 星期二

Dead Fantasy I II III IV V

Dead Fantasy III IV V preview version is out!
Oh~ poor Tiffa T_T.
------------------
Dead Fantasy 三、四、五的预览(偷拍)版本已经出来了。
噢~ 可怜的蒂法 T_T.

这东西最早是从内网上的一个朋友那里听说的,前两部并没有什么剧情,只是打斗场面很赞!
到了第三、五部,在不失的前两作精彩打斗下,加入了更多的剧情,期待HD版本放出。

下面给出前两部的高清版本下载链接,还有预览版本的连接。

Dead Fantasy I [HD] : Download
Dead Fantasy II [HD]:Download
Dead Fantasy III : Preview
Dead Fantasy IV : Preview
Dead Fantasy V : Preview