SetSecurityInfo返回拒绝访问

时间:2017-05-09 17:41:21

标签: c windows security winapi ipc

使用C,我试图在进程和它的子进程之间建立管道连接,而子进程的强制(完整性)级别较低(低级,而父进程很高)。

我编写了以下程序(如果它是简化版本),但它失败了:ERROR_ACCESS_DENIED (0x5)

INT wmain(IN SIZE_T nArgc, IN PWSTR *pArgv)
{
    SECURITY_ATTRIBUTES securityArrtibutes = { 0 };
    HANDLE hPipeRead = NULL;
    HANDLE hPipeWrite = NULL;

    tSecurityArrtibutes.nLength = sizeof(tSecurityArrtibutes);
    tSecurityArrtibutes.bInheritHandle = TRUE;

    SetSeSecurityNamePrivilege();
    CreatePipe(&hPipeRead, &hPipeWrite, &securityArrtibutes, 0);
    ChangeMandatoryLabelHandle(hPipeRead);
}

VOID ChangeMandatoryLabelHandle(HANDLE hObject)
{
    BOOL bRetval = FALSE;
    DWORD dwError = 0;
    PSECURITY_DESCRIPTOR pSecurityDescriptor = NULL;
    PACL ptSacl = NULL;
    BOOL bSaclPresent = FALSE;
    BOOL bSaclDefaulted = FALSE;
    PWSTR pSDDL = NULL;

    SDDL = L"S:(ML;;LW;;;NW)";

    bRetval = ConvertStringSecurityDescriptorToSecurityDescriptorW(pSDDL, SDDL_REVISION_1, &pSecurityDescriptor, NULL);
    if (FALSE == bRetval)
        ... // Handle failure

    bRetval = GetSecurityDescriptorSacl(pSecurityDescriptor, &bSaclPresent, &ptSacl, &bSaclDefaulted);
    if (FALSE == bRetval)
        ... // Handle failure

    // getting ERROR_ACCESS_DENIED (0x5)
    dwErr = SetSecurityInfo(hObject, SE_KERNEL_OBJECT, LABEL_SECURITY_INFORMATION, NULL, NULL, NULL, ptSacl);
    if (ERROR_SUCCESS != dwErr)
        ... // Handle failure

    ... // Cleanup
}

我跟着https://msdn.microsoft.com/en-us/library/windows/desktop/aa379588(v=vs.85).aspx和那句话 To set the SACL of an object, the caller must have the SE_SECURITY_NAME privilege enabled.

BOOL SetSeSecurityNamePrivilege()
{
    HANDLE hToken;
    TOKEN_PRIVILEGES tp;
    LUID luid;

    if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY | TOKEN_IMPERSONATE, &hToken)
        return FALSE

    if (!LookupPrivilegeValue(NULL, SE_SECURITY_NAME, &luid))
        return FALSE;

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = luid;
    if (bEnablePrivilege)
        tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    else
        tp.Privileges[0].Attributes = 0;

    if (!AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), (PTOKEN_PRIVILEGES)NULL, (PDWORD)NULL))
        return FALSE;

    if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
        return FALSE;

    return TRUE;
}

注意:当我尝试使用CreateFile代替CreatePipe执行文件时,我得到相同的结果。 另外,如果我尝试使用文件执行此操作,并将SetSecurityInfo替换为SetNamedSecurityInfoW,并为其指定文件的完整路径,则效果很好。

有没有人知道如何让它发挥作用?谢谢!

1 个答案:

答案 0 :(得分:2)

在解决您当前问题的原因之前的一些注意事项。

首先,您根本不需要更改安全描述符,这样做不太可能帮助您实现最终目标。只有在尝试打开对象的句柄时才会检查安全描述符。如果您已有句柄,则安全描述符无效。由于您要创建一个未命名的管道,您必须将句柄而不是管道名称传递给子项,因此您根本不需要 ChangeMandatoryLabelHandle 函数。

其次,设置SE_SECURITY_NAME时不需要LABEL_SECURITY_INFORMATION权限。强制性标签在逻辑上与SACL的其他部分不同,并被视为特殊情况。

第三,您的"S:(ML;;LW;;;NW)"无效。

我尝试在 ConvertStringSecurityDescriptorToSecurityDescriptorW 中使用它并收到错误1336,访问控制列表(ACL)结构无效。而是使用"D:NO_ACCESS_CONTROLS:(ML;;;;;LW)"或更好仍然使用以下代码创建一个低标签且没有DACL的安全描述符:

ULONG cb = MAX_SID_SIZE;
PSID LowLabelSid = (PSID)alloca(MAX_SID_SIZE);

ULONG dwError = NOERROR;

if (CreateWellKnownSid(WinLowLabelSid, 0, LowLabelSid, &cb))
{
    PACL Sacl = (PACL)alloca(cb += sizeof(ACL) + sizeof(ACE_HEADER) + sizeof(ACCESS_MASK));

    if (InitializeAcl(Sacl, cb, ACL_REVISION) && 
        AddMandatoryAce(Sacl, ACL_REVISION, 0, 0, LowLabelSid))
    {
        SECURITY_DESCRIPTOR sd;
        InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
        SetSecurityDescriptorDacl(&sd, TRUE, NULL, FALSE);
        SetSecurityDescriptorSacl(&sd, TRUE, Sacl, FALSE);

        SECURITY_ATTRIBUTES sa = { sizeof(sa), &sd, TRUE };

        // todo something here
    }
    else
    {
        dwError = GetLastError();
    }
}
else
{
    dwError = GetLastError();
}

但同样,您需要了解在为未命名对象创建安全描述符时(几乎)没有任何意义。仅在打开对象时检查安全描述符,并且(在用户模式下)您无法打开没有名称的对象。

(从内核模式,我们可以使用ObOpenObjectByPointer通过指针打开一个对象。)

(在旧版本的Windows中, CreatePipe 实际上创建了一个随机名称的管道,但是从Windows 7开始管道确实是未命名的,因此无法使用 CreateFile打开 em>或任何类似的方法。)

无论如何,我认为在这种情况下使用 CreatePipe 是一个糟糕的选择。此功能设计不合理,参数太少。没有选项可以创建双向管道或以异步模式打开管道。我认为最好使用 CreateNamedPipeW CreateFileW

(或者,从Windows 7开始,您可以使用 ZwCreateNamedPipeFile ZwOpenFile 来创建和打开未命名的管道。)

发布的代码的近似问题是SetSecurityInfoSetKernelObjectSecurity在使用CreatePipe返回的句柄调用时返回 ERROR_ACCESS_DENIED 。这是因为,如LABEL_SECURITY_INFORMATION的文档中所述:

  

需要设置权限: WRITE_OWNER

由于CreatePipe没有为您提供选择打开句柄的访问权限的选项,因此您无法执行此操作。如果您改为使用CreateNamedPipe,则可以在 dwOpenMode 中设置 WRITE_OWNER

但是,您应该注意,如果您希望创建具有特殊安全描述符的对象,则最好在创建对象时提供该安全描述符。使用默认安全描述符创建对象然后更改它没有意义;为什么在两个操作中你可以做到一个?在这种情况下,您传递给 CreatePipe CreateNamedPipe SECURITY_ATTRIBUTES结构可用于指定安全描述符,提供解决当前问题的另一种方法,如前所述,这实际上并不有用。