试图解决它,但到目前为止所有的努力都是徒劳的。工作流程如下
作为LocalSystem运行的Windows服务使用CreateProcessAsUser(...)使用当前登录用户的标记创建子服务。
const auto session = WTSGetActiveConsoleSessionId();
auto result = WTSQueryUserToken(session, &token);
HANDLE primary;
result = DuplicateTokenEx(token,
TOKEN_QUERY_SOURCE | TOKEN_ALL_ACCESS | TOKEN_IMPERSONATE |
TOKEN_QUERY | TOKEN_DUPLICATE | TOKEN_ADJUST_PRIVILEGES,
nullptr, SecurityImpersonation, TokenPrimary, &primary);
const auto args = std::to_string(reinterpret_cast<long>(access));
CreateProcessAsUser(primary,
const_cast<LPSTR>(command.c_str()), // module name
const_cast<LPSTR>(args.c_str()), // Command line
nullptr, // Process handle not inheritable
nullptr, // Thread handle not inheritable
TRUE, // Set handle inheritance to TRUE
0, // No creation flags
nullptr, // Use parent's environment block
nullptr, // Use parent's starting directory
&si, // Pointer to STARTUPINFO structure
&pi); // Pointer to PROCESS_INFORMATION structure
子进程在用户workstation \ desktop启动,主线程捕获用户I / O事件。子进程模拟如下
void impersonate() {
const auto args = GetCommandLine();
const auto system_token = reinterpret_cast<HANDLE>(std::stol(args, nullptr));
if (SetThreadToken(nullptr, system_token) == TRUE) {
auto result = OpenThreadToken(GetCurrentThread(),
TOKEN_QUERY | TOKEN_QUERY_SOURCE, TRUE, &token);
if (result == TRUE)
{
DWORD dwSize = 0;
if (!GetTokenInformation(token, TokenStatistics, NULL, 0, &dwSize)) {
const auto dwResult = GetLastError();
if (dwResult != ERROR_INSUFFICIENT_BUFFER) {
cout << "GetTokenInformation Error: " << dwResult;
} else {
// Allocate the buffer.
PTOKEN_STATISTICS statistics =
(PTOKEN_STATISTICS)GlobalAlloc(GPTR, dwSize);
// Call GetTokenInformation again to get the group information.
if (!GetTokenInformation(token, TokenStatistics, statistics, dwSize,
&dwSize)) {
cout << "GetTokenInformation Error: " << error;
} else {
const auto level = statistics->ImpersonationLevel;
std::string str;
switch (level) {
case SecurityAnonymous:
str = R"(anonymous)";
break;
case SecurityIdentification:
str = R"(identification)";
break;
case SecurityImpersonation:
str = R"(impersonation)";
break;
case SecurityDelegation:
str = R"(delegation)";
break;
}
// This outputs identification.
cout << "impersonation level : " << str;
}
}
}
}
void thread_main()
{
impersonate();
// if impersonation is successful, file opening fails otherwise not.
const auto file = CreateFile(R"(C:\foo.txt)", // name of the write
GENERIC_WRITE, // open for writing
0, // do not share
NULL, // default security
CREATE_NEW, // create new file only
FILE_ATTRIBUTE_NORMAL, // normal file
NULL); // no attr. template
if (file == INVALID_HANDLE_VALUE) {
} else {
// Rest of code;
}
}
虽然当前用户是管理员并已添加&#34;在身份验证后模拟客户端&#34;它仍然报告&#34;安全识别&#34;。
问:还有其他需要将其提升为安全模拟吗? 谢谢,
答案 0 :(得分:2)
我理解你接下来做什么 - 你将 LocalSystem 令牌从服务复制到子进程(通过继承句柄),并在命令行中传递它的句柄值。然后你拨打SetThreadToken。
但SetThreadToken的文档错误且不完整。
这里只说令牌必须具有TOKEN_IMPERSONATE访问权限。
没有关于线程句柄访问权限的说法 - 它必须有THREAD_SET_THREAD_TOKEN
但主要:
使用 SetThreadToken 功能进行模拟时,您必须这样做 拥有 模仿权限 ,并确保 SetThreadToken 功能成功
你必须拥有是什么意思?通常这意味着调用线程(或调用线程所属的进程,如果线程没有令牌)必须在令牌中具有模拟权限。
但这是错误的,不是真的。你(调用线程)有哪些特权 - 无所谓。目标(不是调用!)线程所属的进程(即使目标线程具有令牌)也必须具有SeImpersonatePrivilege权限或具有与模拟令牌相同的登录会话ID,否则..否,函数没有失败,并且返回成功,但它会将令牌中的SECURITY_IMPERSONATION_LEVEL成员静默替换为SecurityIdentification(查看 WRK-v1.2 \ base \ ntos \ ps \ security.c PsImpersonateClient函数 - 从SeTokenCanImpersonate开始(在 WRK-v1.2 \ base \ ntos \ se \ token.c 中实现 - 在此处检查TOKEN_HAS_IMPERSONATE_PRIVILEGE和{LogonSessionId)如果STATUS_PRIVILEGE_NOT_HELD返回失败(SeTokenCanImpersonate) - PsImpersonateClient函数集ImpersonationLevel = SecurityIdentification ;
所以,即使您从子进程线程的服务(具有模拟权限)调用SetThreadToken - 如果子进程没有模拟权限,则调用“失败”。反之亦然 - 如果你说通过(重复)自己的线程句柄(具有THREAD_SET_THREAD_TOKEN访问权限)到受限制的进程(没有模仿权限) - 他可以成功调用SetThreadToken以获取你的 thread - 模拟级别不会重置为SecurityIdentification
在你的情况下,因为子进程没有SeImpersonatePrivilege(通常它只存在于提升的进程中,但是如果用户使用LOGON32_LOGON_INTERACTIVE进入系统 - 甚至“管理员”都有真正限制的令牌(所以他们不是真正的管理员))并且具有不同的会话ID(比较本地系统令牌会话ID) - 在SetThreadToken之后你的线程具有SecurityIdentification模拟级别。因此,任何系统调用,其中检查安全性(例如打开文件或注册表项)将失败,错误为ERROR_BAD_IMPERSONATION_LEVEL。
解决方案怎么样? 如果用户具有管理员权限 - 您需要在用户会话中创建提升子进程(例如“以管理员身份运行”)。为此,您需要WTSQueryUserToken返回的令牌的查询提升类型,如果是TokenElevationTypeLimited - 我们需要GetTokenInformation通过linked token调用TokenLinkedToken。
这是完整的未记录,但TOKEN_LINKED_TOKEN结构中返回的哪个令牌依赖于调用线程(或进程)具有SE_TCB_PRIVILEGE - 如果是 - TokenPrimary退回。否则返回TokenImpersonation,SECURITY_IMPERSONATION_LEVEL设置为SecurityIdentification(因此此标记只能用于查询)。因为在本地系统帐户下运行的服务具有SE_TCB_PRIVILEGE - 您获得了主要令牌,您需要在CreateProcessAsUser调用中使用该令牌。所以你需要下一个功能:
ULONG GetElevatedUserToken(PHANDLE phToken)
{
union {
ULONG SessionId;
TOKEN_ELEVATION_TYPE tet;
TOKEN_LINKED_TOKEN tlt;
TOKEN_TYPE tt;
};
SessionId = WTSGetActiveConsoleSessionId();
if (SessionId == MAXDWORD)
{
return ERROR_NO_SUCH_LOGON_SESSION;
}
HANDLE hToken;
if (!WTSQueryUserToken(SessionId, &hToken))
{
return GetLastError();
}
ULONG len;
ULONG dwError = NOERROR;
if (GetTokenInformation(hToken, TokenElevationType, &tet, sizeof(tet), &len))
{
if (tet == TokenElevationTypeLimited)
{
if (GetTokenInformation(hToken, TokenLinkedToken, &tlt, sizeof(tlt), &len))
{
CloseHandle(hToken);
hToken = tlt.LinkedToken;
}
else
{
dwError = GetLastError();
}
}
}
else
{
dwError = GetLastError();
}
if (dwError == NOERROR)
{
if (GetTokenInformation(hToken, TokenType, &tt, sizeof(tt), &len))
{
if (tt != TokenPrimary)
{
dwError = ERROR_INVALID_HANDLE;
}
}
else
{
dwError = GetLastError();
}
if (dwError == NOERROR)
{
*phToken = hToken;
return NOERROR;
}
CloseHandle(hToken);
}
return dwError;
}
并使用下一个代码启动子项
HANDLE hToken;
ULONG dwError = GetElevatedUserToken(&hToken);
if (dwError == NOERROR)
{
STARTUPINFO si = { sizeof(si) };
PROCESS_INFORMATION pi;
//***
if (CreateProcessAsUser(hToken, ***, &si, &pi))
{
CloseHandle(pi.hThread);
CloseHandle(pi.hProcess);
}
CloseHandle(hToken);
}
在这种情况下,您可能根本不需要在子进程中模拟 LocalSystem 。但是如果仍然需要 LocalSystem - 您可以在子进程中复制此类令牌,在这种情况下SetThreadtoken将完全正常,因为子进程将具有模拟权限
答案 1 :(得分:0)
原谅我询问什么应该是显而易见的,但需要提出:
您是否正在检查这些功能的返回值?失败时调用GetLastError?你得到了什么错误代码?
如果这是C ++,你设置了一个未处理的异常处理程序吗?