我的应用程序有2个进程,一个进程需要提升,另一个进程则不需要,但是其他情况下,它们是在同一桌面上以同一用户帐户运行的。

我需要在提升的进程中创建一个文件(不在磁盘上,其他类型的文件),该文件从文件中读取,但是我的非提升的进程对文件具有写入权限。

使用nullptr SECURITY_ATTRIBUTES,未提升的进程无法打开文件,CreateFile失败,并显示访问被拒绝的代码。可以预料,类似于this answerSetSecurityDescriptorDacl解决方法也可以。

但是,我不喜欢这种解决方法。我不想授予所有人对该文件的写权限。我只想授予当前用户访问权限。这有点敏感,提升权限的阅读器流程将运行数小时,并且我不希望所有人都能写入该文件。

如何获取/构建SECURITY_ATTRIBUTES,这将是在同一桌面上运行的非提升进程的默认安全性?

最佳答案

如果我们运行提升的进程(由管理员用户执行)-它没有提升的链接 session 。 (并且非提升进程具有提升的链接 session ),您需要:

  • 打开进程 token
  • 通过 TokenLinkedToken 查询此 token 的链接 session token
  • 通过 TokenDefaultDacl 查询此链接 token 的默认dacl
  • 使用此DACL初始化安全描述符

  • 用于不提升 session 的默认dacl的代码:
    ULONG BOOL_TO_ERROR(BOOL f)
    {
        return f ? 0 : GetLastError();
    }
    
    ULONG GetNotElevatedDefaultDacl(PTOKEN_DEFAULT_DACL* DefaultDacl)
    {
        HANDLE hToken;
        ULONG err = BOOL_TO_ERROR(OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY, &hToken));
    
        if (!err)
        {
        ULONG cb;
            union {
                TOKEN_LINKED_TOKEN tlt;
                TOKEN_ELEVATION_TYPE tet;
            };
    
            err = BOOL_TO_ERROR(GetTokenInformation(hToken, TokenElevationType, &tet, sizeof(tet), &cb));
    
            if (!err)
            {
                if (tet == TokenElevationTypeFull)
                {
                    err = BOOL_TO_ERROR(GetTokenInformation(hToken, TokenLinkedToken, &tlt, sizeof(tlt), &cb));
                }
                else
                {
                    err = ERROR_ELEVATION_REQUIRED;
                }
            }
            CloseHandle(hToken);
    
            if (!err)
            {
                union {
                    PTOKEN_DEFAULT_DACL p;
                    PVOID buf;
                };
    
                cb = 0x100;
    
                do
                {
                    if (buf = LocalAlloc(0, cb))
                    {
                        if (err = BOOL_TO_ERROR(GetTokenInformation(
                            tlt.LinkedToken, TokenDefaultDacl, buf, cb, &cb)))
                        {
                            LocalFree(buf);
                        }
                        else
                        {
                            *DefaultDacl = p;
                        }
                    }
                    else
                    {
                        err = GetLastError();
                        break;
                    }
    
                } while (err == ERROR_INSUFFICIENT_BUFFER);
    
                CloseHandle(tlt.LinkedToken);
            }
        }
    
        return err;
    }
    

    并使用它(对于创建时使用 SECURITY_ATTRIBUTES 的任何对象)
    PTOKEN_DEFAULT_DACL DefaultDacl;
    ULONG err = GetNotElevatedDefaultDacl(&DefaultDacl);
    
    SECURITY_DESCRIPTOR sd;
    SECURITY_ATTRIBUTES sa = { sizeof(sa), &sd, FALSE };
    
    InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
    
    if (!err)
    {
        SetSecurityDescriptorDacl(&sd, TRUE, DefaultDacl->DefaultDacl, FALSE);
    }
    
    HANDLE hObject = CreateMailslot(
            L"\\\\?\\Global\\MailSlot\\12345678", 0, MAILSLOT_WAIT_FOREVER, &sa);
    
    if (!err)
    {
        LocalFree(DefaultDacl);
    }
    
    if (hObject)
    {
        // CheckObjectSD(hObject);
        CloseHandle(hObject);
    }
    

    如果使用默认dacl从提升的进程中创建对象(在这种情况下为mailslot)-安全DACL将如下所示:
    T FL AcessMsK Sid
    A 00 001F01FF S-1-5-32-544 'Administrators'
    A 00 001F01FF S-1-5-18 'SYSTEM'
    A 00 001200A9 S-1-5-5-0-x 'LogonSessionId_0_x'
    

    因此,SYSTEM和Administrators的所有访问权限以及当前登录 session 的读取和执行访问权限。结果是同一登录 session 中未提升权限的进程仅具有读取访问权限。

    如果在未提升的 session 中使用显式DACL-结果:
    T FL AcessMsK Sid
    A 00 001F01FF S-1-5-21-a-b-c-d 'SomeUser'
    A 00 001F01FF S-1-5-18 'SYSTEM'
    A 00 001200A9 S-1-5-5-0-x 'LogonSessionId_0_x'
    

    因此,对SYSTEM和SomeUser的所有访问以及对当前登录 session 的读取+执行访问。

    注意,因为提升的进程将SomeUser作为TokenUser,所以他对该对象具有所有访问权限

    对于检查对象安全描述符,我们可以使用例如以下代码:
    void CheckObjectSD(HANDLE hObject)
    {
        union {
            PSECURITY_DESCRIPTOR psd;
            PVOID buf;
        };
    
        ULONG cb = 0, rcb = 0x30;
        volatile static UCHAR guz;
        buf = alloca(guz);
        PVOID stack = alloca(guz);
    
        ULONG err;
        do
        {
            if (cb < rcb)
            {
                cb = (ULONG)((ULONG_PTR)stack - (ULONG_PTR)(buf = alloca(rcb - cb)));
            }
    
            if (!(err = BOOL_TO_ERROR(GetKernelObjectSecurity(hObject,
                DACL_SECURITY_INFORMATION|LABEL_SECURITY_INFORMATION|OWNER_SECURITY_INFORMATION, psd, cb, &rcb))))
            {
                PWSTR psz;
                if (ConvertSecurityDescriptorToStringSecurityDescriptorW(psd, SDDL_REVISION,
                    DACL_SECURITY_INFORMATION|LABEL_SECURITY_INFORMATION|OWNER_SECURITY_INFORMATION, &psz, 0))
                {
                    DbgPrint("%S\n", psz);
                    LocalFree(psz);
                }
            }
    
        } while (err == ERROR_INSUFFICIENT_BUFFER);
    }
    

    如果我们还没有admin用户帐户,则提升是通过另一个用户帐户进行的。在这种情况下,提升的进程没有更多的链接 session (如果我们尝试查询链接 token ,则会出错-指定的登录 session 不存在。它可能已终止。)。接下来(在一般情况下)的可能解决方案:

    对于用户处理默认的DACL,通常为System和UserSid授予GENERIC_ALL,为登录 session SID授予GENERIC_READ | GENERIC_EXECUTE。我们可以查询流程 token ,获取默认DACL,在DACL中找到LogonSession SID,并将其访问掩码更改为GENERIC_ALL。这可以通过以下代码完成:
    ULONG GetDaclForLogonSession(HANDLE hToken, PTOKEN_DEFAULT_DACL* DefaultDacl)
    {
        ULONG err;
    
        ULONG cb = 0x100;
    
        union {
            PTOKEN_DEFAULT_DACL p;
            PVOID buf;
        };
    
        do
        {
            if (buf = LocalAlloc(0, cb))
            {
                if (!(err = BOOL_TO_ERROR(GetTokenInformation(hToken, TokenDefaultDacl, buf, cb, &cb))))
                {
                    err = ERROR_NOT_FOUND;
    
                    if (PACL Dacl = p->DefaultDacl)
                    {
                        if (USHORT AceCount = Dacl->AceCount)
                        {
                            union {
                                PVOID pv;
                                PBYTE pb;
                                PACE_HEADER pah;
                                PACCESS_ALLOWED_ACE paaa;
                            };
    
                            pv = Dacl + 1;
    
                            static const SID_IDENTIFIER_AUTHORITY NtAuth = SECURITY_NT_AUTHORITY;
                            do
                            {
                                switch (pah->AceType)
                                {
                                case ACCESS_ALLOWED_ACE_TYPE:
                                    PSID Sid = &paaa->SidStart;
                                    if (*GetSidSubAuthorityCount(Sid) == SECURITY_LOGON_IDS_RID_COUNT &&
                                        *GetSidSubAuthority(Sid, 0) == SECURITY_LOGON_IDS_RID &&
                                        !memcmp(GetSidIdentifierAuthority(Sid), &NtAuth, sizeof(NtAuth)))
                                    {
                                        paaa->Mask = GENERIC_ALL;
                                        *DefaultDacl = p;
                                        return 0;
                                    }
    
                                    break;
                                }
                                pb += pah->AceSize;
    
                            } while (--AceCount);
                        }
                    }
                }
    
                LocalFree(buf);
            }
            else
            {
                return GetLastError();
            }
    
        } while (err == ERROR_INSUFFICIENT_BUFFER);
    
        return err;
    }
    
    ULONG GetDaclForLogonSession(PTOKEN_DEFAULT_DACL* DefaultDacl)
    {
        HANDLE hToken;
        ULONG err = BOOL_TO_ERROR(OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY, &hToken));
    
        if (!err)
        {
            err = GetDaclForLogonSession(hToken, DefaultDacl);
    
            CloseHandle(hToken);
        }
    
        return err;
    }
    

    结果,我们得到了DACL,我们授予了对当前登录 session 的所有访问权限。用法相同-只需替换从GetNotElevatedDefaultDaclGetDaclForLogonSession的调用

    10-01 03:44