Ketika tidak ada yang masuk ke Windows, (layar masuk ditampilkan) pengguna mana yang sedang berjalan? (Driver video / suara, sesi login, perangkat lunak server apa pun, kontrol aksesibilitas, dll. Mereka tidak dapat berupa pengguna atau pengguna sebelumnya karena tidak ada yang masuk. Bagaimana dengan proses yang telah dimulai oleh pengguna tetapi terus melanjutkan jalankan setelah logoff? (Misalnya HTTP, server FTP, dan hal-hal jaringan lainnya). Apakah mereka beralih ke akun SYSTEM? Jika suatu proses yang dimulai pengguna beralih ke SYSTEM, itu menunjukkan kerentanan yang sangat serius. Apakah proses berjalan sebagai pengguna itu terus berjalan sebagai pengguna setelah mereka keluar?
Apakah ini sebabnya peretasan SETHC memungkinkan Anda menggunakan CMD sebagai SISTEM?
Jawaban:
Hampir semua driver dijalankan dalam mode kernel ; mereka tidak membutuhkan akun, kecuali mereka memulai proses userspace. Beberapa driver ruang pengguna dijalankan di bawah SISTEM.
Sesi login, saya tidak bisa memeriksa sekarang, tapi saya yakin itu menggunakan SISTEM juga. Anda dapat melihat logonui.exe di Process Hacker atau SysInternals ProcExp . Bahkan, Anda bisa melihat semuanya seperti itu.
"Perangkat lunak server", lihat layanan Windows di bawah ini.
Ada tiga jenis di sini:
Proses "latar belakang" lama yang polos. Mereka berjalan di bawah akun yang sama dengan siapa pun yang memulai, dan tidak menjalankan setelah logoff. Proses logoff membunuh mereka semua.
"HTTP, server FTP, dan hal-hal jaringan lainnya" tidak berjalan sebagai proses latar belakang biasa. Mereka dijalankan sebagai layanan.
Windows "layanan" proses. Itu tidak diluncurkan secara langsung, tetapi melalui Service Manager. Secara default layanan berjalan sebagai LocalSystem (yang isanae mengatakan sama dengan SYSTEM), meskipun mereka dapat mengkonfigurasi akun khusus.
(Tentu saja, praktis tidak ada yang mengganggu. Mereka hanya menginstal XAMPP atau WampServer atau omong kosong lainnya, dan membiarkannya berjalan sebagai SISTEM, selamanya tidak ditambal.)
Pada sistem Windows baru-baru ini, saya pikir layanan juga dapat memiliki SID mereka sendiri , tetapi sekali lagi saya belum melakukan riset sebanyak ini.
Tugas yang dijadwalkan. Ini diluncurkan oleh "Penjadwal Tugas" layanan "di latar belakang", dan selalu berjalan di bawah akun yang dikonfigurasi dalam tugas (biasanya siapa pun yang membuat tugas).
Ini bukan kerentanan karena Anda harus sudah memiliki hak Administrator untuk menginstal layanan. Memiliki hak istimewa Administrator sudah memungkinkan Anda melakukan segalanya secara praktis.
(lihat juga berbagai non-kerentanan lainnya dari jenis yang sama)
sumber
Proses masuk dan pra-masuk semuanya dijalankan sebagai SISTEM (juga disebut LocalSystem). Bahkan, salah satu cara untuk membuat shell (seperti CMD prompt) berjalan sebagai SISTEM pada beberapa versi Windows adalah dengan mengganti program aksesibilitas, seperti pembaca layar, kaca pembesar, atau keyboard di layar, dengan salinan (atau tautan ke)
CMD.EXE
, lalu gunakan pintasan untuk mengaktifkan fitur aksesibilitas tersebut sebelum masuk. Anda akan mendapatkan prompt perintah, meskipun tidak ada pengguna yang masuk, danCMD
akan berjalan sebagai SISTEM.(Catatan: ini berbahaya, tentu saja, karena memungkinkan orang melewati proses masuk Windows. Anda seharusnya tidak pernah mengkonfigurasi komputer dengan cara ini dan kemudian membiarkannya seperti itu.)
sumber
Mereka tidak "beralih" ke apa pun; proses semacam itu tidak pernah berjalan di bawah konteks pengguna saat ini.
Mereka dimiliki oleh
SYSTEM
pengguna.Segala proses dan layanan yang dimiliki oleh pengguna individu diakhiri pada saat log-out.
Itulah yang keluar log berarti .
sumber
ps
sebagai yang lain