热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

禁用wmiprvse.exe PR无让法提权

发布时间:2013-01-01 22:30文章来源:网络文章作者:K8拉登哥哥 点击次数:
摘要:禁止PR提权 一 先来PR提权原理分析从源码入手 其中部分源码如下 pr是通过搜索 wmiprvse.exe 取到SYSTEM权限后 执行任意命令执行添加用户命令当然就是添加用户了 方法1 加载 K8ShellNoExecExe.sys 这个可以防止各种溢出工具通过在WEBSHELL上执行命令提权 方法...

禁止PR提权

一 先来PR提权原理分析从源码入手
其中部分源码如下

 

禁止PR提权

pr是通过搜索 wmiprvse.exe 取到SYSTEM权限后
执行任意命令执行添加用户命令当然就是添加用户了

方法1

加载 K8ShellNoExecExe.sys 这个可以防止各种溢出工具通过在WEBSHELL上执行命令提权


方法2

禁用 wmiprvse.exe 让别人的PR无法提权


文件位置:
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllcache\wmiprvse.exe

ntsd杀不死的进程(分大小写):WMIPRVSE.EXE


1.在CMD中运行
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe" /v debugger /t reg_sz /d debugfile.exe /f
重新启用Wmiprvse.exe 进程方法方法:
在CMD中运行
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe" /f
2.解决方法:
wmiprvse.exe是一个系统服务的进程,你可以结束任务,进程自然消失。
禁用Windows Management Instrumentation Driver Extensions服务或者改为手动
具体:桌面-我的电脑-管理-服务和应用程序-服务 里面有个Windows Management Instrumentation 右键—禁用就可以了.
个人用过后感觉第二种方法较好。但是如果把Windows Management Instrumentation 服务给关闭了 系统就会出现一想不到大问题 各位想好了
解除命令方法:同样操作复制下边的命[1]令粘贴输入,回车确定。即可、
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe" /f

声明一下 禁用这个 wmiprvse.exe 对系统正常运行没影响
不知道大家是否注意到了

标签分类:

上一篇:虚拟主机提权技巧:调用远程路径去执行CMD
下一篇:使用Hash直接登录Windows