[英]C++ windows LocalSystem impersonation in child process failing
试图解决它,但到目前为止所有努力都是徒劳的。 工作流程如下
以LocalSystem运行的Windows服务使用CreateProcessAsUser(...)
和当前登录用户的令牌创建子级。
const auto session = WTSGetActiveConsoleSessionId();
auto result = WTSQueryUserToken(session, &token);
HANDLE primary;
result = DuplicateTokenEx(token,
TOKEN_QUERY_SOURCE | TOKEN_ALL_ACCESS | TOKEN_IMPERSONATE |
TOKEN_QUERY | TOKEN_DUPLICATE | TOKEN_ADJUST_PRIVILEGES,
nullptr, SecurityImpersonation, TokenPrimary, &primary);
const auto args = std::to_string(reinterpret_cast<long>(access));
CreateProcessAsUser(primary,
const_cast<LPSTR>(command.c_str()), // module name
const_cast<LPSTR>(args.c_str()), // Command line
nullptr, // Process handle not inheritable
nullptr, // Thread handle not inheritable
TRUE, // Set handle inheritance to TRUE
0, // No creation flags
nullptr, // Use parent's environment block
nullptr, // Use parent's starting directory
&si, // Pointer to STARTUPINFO structure
&pi); // Pointer to PROCESS_INFORMATION structure
子进程在用户工作站\\桌面中启动,主线程捕获用户I / O事件。 子进程模拟如下
void impersonate() {
const auto args = GetCommandLine();
const auto system_token = reinterpret_cast<HANDLE>(std::stol(args, nullptr));
if (SetThreadToken(nullptr, system_token) == TRUE) {
auto result = OpenThreadToken(GetCurrentThread(),
TOKEN_QUERY | TOKEN_QUERY_SOURCE, TRUE, &token);
if (result == TRUE)
{
DWORD dwSize = 0;
if (!GetTokenInformation(token, TokenStatistics, NULL, 0, &dwSize)) {
const auto dwResult = GetLastError();
if (dwResult != ERROR_INSUFFICIENT_BUFFER) {
cout << "GetTokenInformation Error: " << dwResult;
} else {
// Allocate the buffer.
PTOKEN_STATISTICS statistics =
(PTOKEN_STATISTICS)GlobalAlloc(GPTR, dwSize);
// Call GetTokenInformation again to get the group information.
if (!GetTokenInformation(token, TokenStatistics, statistics, dwSize,
&dwSize)) {
cout << "GetTokenInformation Error: " << error;
} else {
const auto level = statistics->ImpersonationLevel;
std::string str;
switch (level) {
case SecurityAnonymous:
str = R"(anonymous)";
break;
case SecurityIdentification:
str = R"(identification)";
break;
case SecurityImpersonation:
str = R"(impersonation)";
break;
case SecurityDelegation:
str = R"(delegation)";
break;
}
// This outputs identification.
cout << "impersonation level : " << str;
}
}
}
}
void thread_main()
{
impersonate();
// if impersonation is successful, file opening fails otherwise not.
const auto file = CreateFile(R"(C:\foo.txt)", // name of the write
GENERIC_WRITE, // open for writing
0, // do not share
NULL, // default security
CREATE_NEW, // create new file only
FILE_ATTRIBUTE_NORMAL, // normal file
NULL); // no attr. template
if (file == INVALID_HANDLE_VALUE) {
} else {
// Rest of code;
}
}
尽管当前用户是管理员,并添加了“身份验证后模拟客户端”,但仍报告“安全性标识”。
问:还有其他要求将其提升为安全模拟角色吗? 谢谢,
我接下来的工作方式-您将LocalSystem令牌从服务复制到子进程(通过继承句柄),然后在命令行中将其传递给句柄值。 然后调用SetThreadToken
。
但是SetThreadToken
文档错误SetThreadToken
完整。
这里只说令牌必须具有TOKEN_IMPERSONATE
访问权限。 关于线程句柄访问权限的任何说明-它必须具有THREAD_SET_THREAD_TOKEN
但主要:
使用SetThreadToken函数进行模拟时,必须具有模拟特权 ,并确保SetThreadToken函数成功
你必须拥有什么意思? 通常,这意味着调用线程(或在线程没有令牌的情况下,调用线程所属的进程)必须在令牌中具有模拟特权。
但这是错误的,而不是正确的。 您(调用线程)具有哪种特权-没关系。 目标(未调用!)线程所属的进程( 即使目标线程具有令牌 )也必须具有SeImpersonatePrivilege
特权或具有与模拟令牌相同的登录会话ID,否则SeImpersonatePrivilege
,函数不会失败,并且返回成功,但是将令牌中的SECURITY_IMPERSONATION_LEVEL
成员静默替换为SecurityIdentification
(在WRK-v1.2 \\ base \\ ntos \\ ps \\ security.c中 PsImpersonateClient
函数-从SeTokenCanImpersonate
开始(在WRK-v1.2 \\ base \\ ntos \\ se \\ token.c中实现 -在此处检查TOKEN_HAS_IMPERSONATE_PRIVILEGE
和LogonSessionId),以及如果失败( STATUS_PRIVILEGE_NOT_HELD
)由SeTokenCanImpersonate
返回PsImpersonateClient
函数集ImpersonationLevel = SecurityIdentification ;
因此,即使您从服务(具有模拟特权)为子进程线程调用SetThreadToken
如果子进程没有模拟特权,则调用为“失败”。 反之亦然-如果您说将自己的线程句柄(具有THREAD_SET_THREAD_TOKEN
访问权限)传递给不具有模拟特权的受限进程,则他可以为您的线程成功调用SetThreadToken
模拟级别不会重置为SecurityIdentification
在您的情况下,因为子进程没有SeImpersonatePrivilege
(通常仅存在于提升的进程中,但是如果用户使用LOGON32_LOGON_INTERACTIVE
进入系统-甚至“管理员”也确实限制了令牌(因此他们不是真正的管理员))并且具有不同的会话ID (比较本地系统令牌会话ID)-在SetThreadToken
之后,您的线程具有SecurityIdentification
模拟级别。 结果,任何进行安全检查(例如打开文件或注册表项)的系统调用都将失败,并显示错误ERROR_BAD_IMPERSONATION_LEVEL
。
解决方案怎么样? 如果用户具有管理员特权 -您需要在用户会话中创建提升的子进程(例如“以admin身份运行”)。 为此,您需要查询WTSQueryUserToken
返回的令牌的提升类型,如果它是TokenElevationTypeLimited
我们需要通过GetTokenInformation
调用使用TokenLinkedToken
获得链接令牌 。
这是完全未记录的,但是TOKEN_LINKED_TOKEN
结构中返回的令牌取决于调用线程(或进程)是否具有SE_TCB_PRIVILEGE
如果是,则返回TokenPrimary
。 否则,返回TokenImpersonation
并将SECURITY_IMPERSONATION_LEVEL
设置为SecurityIdentification
(因此,此令牌只能用于查询)。 因为在本地系统帐户下运行的服务具有SE_TCB_PRIVILEGE
您获得了主令牌,因此需要在CreateProcessAsUser
调用中使用它。 所以你需要下一个功能:
ULONG GetElevatedUserToken(PHANDLE phToken)
{
union {
ULONG SessionId;
TOKEN_ELEVATION_TYPE tet;
TOKEN_LINKED_TOKEN tlt;
TOKEN_TYPE tt;
};
SessionId = WTSGetActiveConsoleSessionId();
if (SessionId == MAXDWORD)
{
return ERROR_NO_SUCH_LOGON_SESSION;
}
HANDLE hToken;
if (!WTSQueryUserToken(SessionId, &hToken))
{
return GetLastError();
}
ULONG len;
ULONG dwError = NOERROR;
if (GetTokenInformation(hToken, TokenElevationType, &tet, sizeof(tet), &len))
{
if (tet == TokenElevationTypeLimited)
{
if (GetTokenInformation(hToken, TokenLinkedToken, &tlt, sizeof(tlt), &len))
{
CloseHandle(hToken);
hToken = tlt.LinkedToken;
}
else
{
dwError = GetLastError();
}
}
}
else
{
dwError = GetLastError();
}
if (dwError == NOERROR)
{
if (GetTokenInformation(hToken, TokenType, &tt, sizeof(tt), &len))
{
if (tt != TokenPrimary)
{
dwError = ERROR_INVALID_HANDLE;
}
}
else
{
dwError = GetLastError();
}
if (dwError == NOERROR)
{
*phToken = hToken;
return NOERROR;
}
CloseHandle(hToken);
}
return dwError;
}
并使用下一个代码作为开始子对象
HANDLE hToken;
ULONG dwError = GetElevatedUserToken(&hToken);
if (dwError == NOERROR)
{
STARTUPINFO si = { sizeof(si) };
PROCESS_INFORMATION pi;
//***
if (CreateProcessAsUser(hToken, ***, &si, &pi))
{
CloseHandle(pi.hThread);
CloseHandle(pi.hProcess);
}
CloseHandle(hToken);
}
在这种情况下,您可能根本不需要在子进程中模拟LocalSystem 。 但是,如果仍然需要LocalSystem ,则可以在子进程中复制此类令牌,在这种情况下, SetThreadtoken
完全可以,因为子进程将具有模拟特权
请原谅我提出哪些显而易见的要求,但需要提出以下要求:
您是否正在检查这些函数的返回值? 它们失败时调用GetLastError吗? 您返回什么错误代码?
如果这是C ++,是否要设置未处理的异常处理程序?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.