禁止PR提权
一 先来PR提权原理分析从源码入手
其中部分源码如下
pr是通过搜索 wmiprvse.exe 取到SYSTEM权限后
执行任意命令执行添加用户命令当然就是添加用户了
方法1
加载 K8ShellNoExecExe.sys 这个可以防止各种溢出工具通过在WEBSHELL上执行命令提权
方法2
禁用 wmiprvse.exe 让别人的PR无法提权
文件位置:
C:/WINDOWS/system32/wbem/wmiprvse.exe
C:/WINDOWS/system32/dllcache/wmiprvse.exe
ntsd杀不死的进程(分大小写):WMIPRVSE.EXE
1.在CMD中运行
reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/wmiprvse.exe" /v debugger /t reg_sz /d debugfile.exe /f
重新启用Wmiprvse.exe 进程方法方法:
在CMD中运行
reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/wmiprvse.exe" /f
2.解决方法:
wmiprvse.exe是一个系统服务的进程,你可以结束任务,进程自然消失。
禁用Windows Management Instrumentation Driver Extensions服务或者改为手动
具体:桌面-我的电脑-管理-服务和应用程序-服务 里面有个Windows Management Instrumentation 右键—禁用就可以了.
个人用过后感觉第二种方法较好。但是如果把Windows Management Instrumentation 服务给关闭了 系统就会出现一想不到大问题 各位想好了
解除命令方法:同样操作复制下边的命[1]令粘贴输入,回车确定。即可、
reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/wmiprvse.exe" /f
声明一下 禁用这个 wmiprvse.exe 对系统正常运行没影响
不知道大家是否注意到了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论