[HaBo]

LionC

habe nochmal eine frage zu einem win-bug, welcher einem die rechte des systemadmins innerhalb einer cmd-shell verleiht. folgender batch code tut dies:

more %0 +9>bam.bat
echo tskill explorer.exe>>bam.bat
echo explorer.exe>>bam.bat
set STUNDE=%TIME:~0,2%
set MINUTE=%TIME:~3,2%
set /a MINPE=%MINUTE%+1>nul
call bam.bat %STUNDE%:%MINPE%
del bam.bat
exit
at %1 /interactive "cmd.exe"


habe in google nichts gefunden, diesen bug kenne ich auch nur aus eher fragwürdigen foren.

also warum funst das, und warum nur manchmal?

thx im voraus

Heinzelotto

das geht nur, wenn du administrator bist, denn als normaler nutzer hast du nicht die nötigen rechte, um at.exe auszuführen.

2Bios

Sprich: Das Script mach einen Userwechsel?

Sn1per

Hi
wenn du bei Ausführen
"AT *systemzeit wann fenster geöffnet werden soll* /interaktive cmd.exe" ohne ""
eingibst hast du auch ein cmd-shell mit systemrechten.
mfg
Sn1per

Grafix

Es gibt ja durchaus die Möglichkeit auch unter Windows einzelne Prozesse unter anderen Benutzerrechten als den eingeloggten zu starten (Stichwort runas).
Dieser Bug tritt nun deshalb auf, weil der Dienst für die Taskplanung dummerweise seine Rechte auf die Childprozesse vererbt. Und der Dienst läuft als SYSTEM.
Ein Nutzer, den man normalerweise nicht nutzen kann.
Naja und alles was man nun aus der gestarteten shell startet, bekommt wiederrum auch SYSTEM Privilegien. Es gibt z.B. einige Pfade in der Registry, die man als Administrator gar nicht zu Gesicht bekommt. Oder Zugriff auf Ordner wie "System Volume Information" vom Dateisystem.

LionC

thx für die antworten, ist soweit verstanden. habe schon oft von dem systemvolueinformation ordner gelesen, uaber was ist da drinen? und welche pfade in der reg meinste genau?

//EDIT: systemvolue weiß ich jetz

Harry Boeck

Die SAM-Pfade und die eine oder andere Ecke sind standardmäßig nicht zugänglich.
Man KANN man sich als Admin diese Dinge ohne weiteres zugänglich machen. Man BRAUCHT sie aber normalerweise nicht.

Man BRAUCHT also das "System"-Konto nicht. Und man KANN auch ohne weiteres die Rechte des "Systems" gegenüber der standardmäßigen Allmacht einschränken. Nur im Bereich der Windows-Standardverzeichnisse (sowas wie "c:\windows", "c:\programme", "system volume information", "recycler") sollte man die Rechte so lassen, wenn man nicht riskieren will, wichtige Funktionen zu behindern. Immerhin handelt es sich ja aber um die Selbstverwaltung des Systems in sich. Wenn man dem System nicht vertrauen kann, ändert eine Behinderung dieser Selbstverwaltung nichts an jenem Umstand. Wenn man ihm vertraut, kann man ihm seine Selbstverwaltung ohne weiteres überlassen.

Den Zugriff auf wichtige Anwenderdaten dagegen kann man ohne weiteres gegenüber dem "System" einschränken, etwa um Behinderungen für amoklaufende (eventuell gekaperte) Systemdienste in den Weg zu legen. Bei mir hat z.B. "System" auf dem Bereich der Anwenderdaten per default nur Navigationsrechte und nur punktuell Lese- und Ausführrechte. Mit sowas käme ein böser Bube bei Benutzung des "System"-Kontos also nicht sehr weit.

Als "Bug" würde ich das daher nicht bezeichnen, sondern als "eigenartiges Feature".

LionC

harry boeck biste zufällig bei dark-codez agemeldet?

Harry Boeck

Nein, die scheinen aber von der Philosophie her ähnlich zu liegen wie das HaBo.
Allerdings gefällt mir am HaBo die Offenheit: Wenn hier ein Problem und eine Lösung präsentiert werden, sind die höchstens wenige Stunden später in jeder Suchmaschine. Die "dark-codez" halten sich dagegen so bedeckt, daß man sich von Themenbereichen abgesehen kein Bild machen kann. Schade um die Arbeit, die da versenkt wird.

LionC

jop das habo is offener, aber dark-codez ist auch ein zielich geiles board, man muss halt draufkommen