🕵️♂️ Windows: Режим Бога без сторонних утилит (SYSTEM Shell)
Иногда прав обычного Администратора не хватает. Например, чтобы принудительно убить защищенный процесс зависшего антивируса, удалить заблокированную ветку реестра или прочитать дампы. Нужны абсолютные права высшего уровня — NT AUTHORITY\SYSTEM.
Обычно для этого качают утилиту PsExec от Марка Руссиновича (psexec -i -s cmd.exe). Но что если скачивать ничего нельзя? Сервер полностью изолирован, интернет закрыт политиками, а флешки заблокированы DLP-системой.
Получаем SYSTEM-консоль встроенными, легальными средствами Windows.
Используем Планировщик задач (Task Scheduler):
Создадим задачу, которая запустит командную строку от имени системного аккаунта в интерактивном режиме, тут же ее вызовем и удалим следы.
Вставьте это в обычную консоль (запущенную от имени администратора):
(Параметр /it здесь ключевой — он заставляет задачу взаимодействовать с рабочим столом текущего пользователя. Без него процесс просто повиснет скрытым фоном в диспетчере задач.)
#windows #security #system #cmd #sysadmin #admin_future
Иногда прав обычного Администратора не хватает. Например, чтобы принудительно убить защищенный процесс зависшего антивируса, удалить заблокированную ветку реестра или прочитать дампы. Нужны абсолютные права высшего уровня — NT AUTHORITY\SYSTEM.
Обычно для этого качают утилиту PsExec от Марка Руссиновича (psexec -i -s cmd.exe). Но что если скачивать ничего нельзя? Сервер полностью изолирован, интернет закрыт политиками, а флешки заблокированы DLP-системой.
Получаем SYSTEM-консоль встроенными, легальными средствами Windows.
Используем Планировщик задач (Task Scheduler):
Создадим задачу, которая запустит командную строку от имени системного аккаунта в интерактивном режиме, тут же ее вызовем и удалим следы.
Вставьте это в обычную консоль (запущенную от имени администратора):
1. Создаем задачу, запускающую cmd.exe от имени SYSTEM (/RU "SYSTEM")
schtasks /create /tn "GodMode" /tr "cmd.exe" /sc onstart /ru "SYSTEM" /it
2. Принудительно запускаем ее прямо сейчас
schtasks /run /tn "GodMode"
3. Подметаем за собой следы в планировщике
schtasks /delete /tn "GodMode" /f
(Параметр /it здесь ключевой — он заставляет задачу взаимодействовать с рабочим столом текущего пользователя. Без него процесс просто повиснет скрытым фоном в диспетчере задач.)
На вашем экране мгновенно откроется новое черное окно командной строки. Напишите там whoami. Вы увидите заветное nt authority\system.
Для хардкорного траблшутинга на изолированных хостах. В этом окне у вас абсолютная власть над операционной системой. Вы можете обойти ограничения UAC, останавливать «не останавливаемые» службы и редактировать защищенные системные файлы. Пользоваться с крайней осторожностью, так как "защиты от дурака" на этом уровне привилегий больше не существует.
#windows #security #system #cmd #sysadmin #admin_future
🔥3✍1