默认安全描述符
Default security descriptor
我的应用有 2 个进程,一个需要提升,另一个不需要,但除此之外,它们在同一桌面上的同一用户帐户下运行。
我需要在提升的进程中创建一个文件(不在磁盘上,其他类型的文件(,该文件从文件中读取,但对文件具有非提升的进程写入访问权限。
使用nullptrSECURITY_ATTRIBUTES时,非提升的进程无法打开文件,CreateFile 失败并显示访问被拒绝的代码。这是意料之中的,与此答案类似的SetSecurityDescriptorDacl解决方法工作正常。
但是,我不喜欢这种解决方法。我不想向所有人授予对该文件的写入访问权限。我只想向当前用户授予访问权限。这有点敏感,提升的读取器进程将运行数小时,我不希望每个人都能够写入该文件。
如何获取/构造SECURITY_ATTRIBUTES,该是在同一桌面上运行的非提升进程的默认安全性?
如果我们运行提升的进程(由管理员用户( - 它没有提升链接会话。(非提升的进程具有提升的链接会话(您需要:
- 打开进程令牌
- 通过
TokenLinkedToken查询此令牌的链接会话令牌 - 通过
TokenDefaultDacl查询此链接令牌的默认 DACL - 使用此DACL初始化安全描述符
用于获取未提升会话的默认 DACL 的代码:
ULONG BOOL_TO_ERROR(BOOL f)
{
return f ? 0 : GetLastError();
}
ULONG GetNotElevatedDefaultDacl(PTOKEN_DEFAULT_DACL* DefaultDacl)
{
HANDLE hToken;
ULONG err = BOOL_TO_ERROR(OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY, &hToken));
if (!err)
{
ULONG cb;
union {
TOKEN_LINKED_TOKEN tlt;
TOKEN_ELEVATION_TYPE tet;
};
err = BOOL_TO_ERROR(GetTokenInformation(hToken, TokenElevationType, &tet, sizeof(tet), &cb));
if (!err)
{
if (tet == TokenElevationTypeFull)
{
err = BOOL_TO_ERROR(GetTokenInformation(hToken, TokenLinkedToken, &tlt, sizeof(tlt), &cb));
}
else
{
err = ERROR_ELEVATION_REQUIRED;
}
}
CloseHandle(hToken);
if (!err)
{
union {
PTOKEN_DEFAULT_DACL p;
PVOID buf;
};
cb = 0x100;
do
{
if (buf = LocalAlloc(0, cb))
{
if (err = BOOL_TO_ERROR(GetTokenInformation(
tlt.LinkedToken, TokenDefaultDacl, buf, cb, &cb)))
{
LocalFree(buf);
}
else
{
*DefaultDacl = p;
}
}
else
{
err = GetLastError();
break;
}
} while (err == ERROR_INSUFFICIENT_BUFFER);
CloseHandle(tlt.LinkedToken);
}
}
return err;
}
并使用它(这适用于任何在创建时SECURITY_ATTRIBUTES的对象(
PTOKEN_DEFAULT_DACL DefaultDacl;
ULONG err = GetNotElevatedDefaultDacl(&DefaultDacl);
SECURITY_DESCRIPTOR sd;
SECURITY_ATTRIBUTES sa = { sizeof(sa), &sd, FALSE };
InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
if (!err)
{
SetSecurityDescriptorDacl(&sd, TRUE, DefaultDacl->DefaultDacl, FALSE);
}
HANDLE hObject = CreateMailslot(
L"\\?\Global\MailSlot\12345678", 0, MAILSLOT_WAIT_FOREVER, &sa);
if (!err)
{
LocalFree(DefaultDacl);
}
if (hObject)
{
// CheckObjectSD(hObject);
CloseHandle(hObject);
}
如果使用默认 DACL 从提升的进程创建对象(在本例中为邮箱(,则安全 DACL 将如下所示:
T FL AcessMsK Sid
A 00 001F01FF S-1-5-32-544 'Administrators'
A 00 001F01FF S-1-5-18 'SYSTEM'
A 00 001200A9 S-1-5-5-0-x 'LogonSessionId_0_x'
因此,系统和管理员的所有访问权限以及当前登录会话的读取+执行访问权限。 因此,来自同一登录会话的进程没有提升,只有读取访问权限。
如果使用来自未提升会话的显式 DACL - 结果:
T FL AcessMsK Sid
A 00 001F01FF S-1-5-21-a-b-c-d 'SomeUser'
A 00 001F01FF S-1-5-18 'SYSTEM'
A 00 001200A9 S-1-5-5-0-x 'LogonSessionId_0_x'
所以系统和某个用户的所有访问权限以及当前登录会话的读取+执行访问权限。
注意,因为提升的进程将某人作为令牌用户,他对此对象具有所有访问权限
对于检查对象安全描述符,我们可以使用例如下一个代码:
void CheckObjectSD(HANDLE hObject)
{
union {
PSECURITY_DESCRIPTOR psd;
PVOID buf;
};
ULONG cb = 0, rcb = 0x30;
volatile static UCHAR guz;
buf = alloca(guz);
PVOID stack = alloca(guz);
ULONG err;
do
{
if (cb < rcb)
{
cb = (ULONG)((ULONG_PTR)stack - (ULONG_PTR)(buf = alloca(rcb - cb)));
}
if (!(err = BOOL_TO_ERROR(GetKernelObjectSecurity(hObject,
DACL_SECURITY_INFORMATION|LABEL_SECURITY_INFORMATION|OWNER_SECURITY_INFORMATION, psd, cb, &rcb))))
{
PWSTR psz;
if (ConvertSecurityDescriptorToStringSecurityDescriptorW(psd, SDDL_REVISION,
DACL_SECURITY_INFORMATION|LABEL_SECURITY_INFORMATION|OWNER_SECURITY_INFORMATION, &psz, 0))
{
DbgPrint("%Sn", psz);
LocalFree(psz);
}
}
} while (err == ERROR_INSUFFICIENT_BUFFER);
}
如果我们没有管理员用户帐户,则提升是通过另一个用户帐户进行的。 在这种情况下,提升的进程不再有链接会话(如果我们尝试查询链接令牌,我们收到错误 -指定的登录会话不存在。它可能已被终止。).接下来的可能解决方案(以及在一般情况下也是如此(:
对于用户进程默认 DACL 通常授予系统和用户 Sid的GENERIC_ALL,并为登录会话 SID 授予GENERIC_READ | GENERIC_EXECUTE。 我们可以查询进程令牌,获取默认DACL,在DACL中找到LogonSession SID,并将其访问掩码更改为GENERIC_ALL。 这可以通过下一个代码完成:
ULONG GetDaclForLogonSession(HANDLE hToken, PTOKEN_DEFAULT_DACL* DefaultDacl)
{
ULONG err;
ULONG cb = 0x100;
union {
PTOKEN_DEFAULT_DACL p;
PVOID buf;
};
do
{
if (buf = LocalAlloc(0, cb))
{
if (!(err = BOOL_TO_ERROR(GetTokenInformation(hToken, TokenDefaultDacl, buf, cb, &cb))))
{
err = ERROR_NOT_FOUND;
if (PACL Dacl = p->DefaultDacl)
{
if (USHORT AceCount = Dacl->AceCount)
{
union {
PVOID pv;
PBYTE pb;
PACE_HEADER pah;
PACCESS_ALLOWED_ACE paaa;
};
pv = Dacl + 1;
static const SID_IDENTIFIER_AUTHORITY NtAuth = SECURITY_NT_AUTHORITY;
do
{
switch (pah->AceType)
{
case ACCESS_ALLOWED_ACE_TYPE:
PSID Sid = &paaa->SidStart;
if (*GetSidSubAuthorityCount(Sid) == SECURITY_LOGON_IDS_RID_COUNT &&
*GetSidSubAuthority(Sid, 0) == SECURITY_LOGON_IDS_RID &&
!memcmp(GetSidIdentifierAuthority(Sid), &NtAuth, sizeof(NtAuth)))
{
paaa->Mask = GENERIC_ALL;
*DefaultDacl = p;
return 0;
}
break;
}
pb += pah->AceSize;
} while (--AceCount);
}
}
}
LocalFree(buf);
}
else
{
return GetLastError();
}
} while (err == ERROR_INSUFFICIENT_BUFFER);
return err;
}
ULONG GetDaclForLogonSession(PTOKEN_DEFAULT_DACL* DefaultDacl)
{
HANDLE hToken;
ULONG err = BOOL_TO_ERROR(OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY, &hToken));
if (!err)
{
err = GetDaclForLogonSession(hToken, DefaultDacl);
CloseHandle(hToken);
}
return err;
}
结果我们DACL授予对当前登录会话的所有访问权限。 用法相同 - 只需将呼叫从GetNotElevatedDefaultDacl替换为GetDaclForLogonSession
相关文章:
- 从不同线程使用int64的不同字节安全吗
- 将数组作为参数传递给函数安全吗?作为第三方职能部门,可以探索他们想要的之外的其他元素
- 虚拟决赛作为安全
- 获取日期异步信号安全吗?如果在信号处理程序中使用,它会导致死锁吗
- 如何将元素添加到数组的线程安全函数?
- 使用VerQueryValue检索应用程序的文件描述
- C++中的线程安全删除
- 如何使用重载的相等(==)运算符向测试用例添加描述
- 通过网络、跨平台传递std::变体是否安全
- 如何在C/C++中用FD_set Unix设置套接字文件描述符
- 在std::thread中,joinable()然后join()线程安全吗
- 使用std::istream::peek()总是安全的吗
- 从值小于256的uint16到uint8的Endian安全转换
- PC中的程序和PHONE中的本机描述应用程序之间的数据连接
- 在c++队列中使用pop和visit实现线程安全
- 默认安全描述符
- 使用 SDDL 或手动创建安全描述符之间的区别
- 为特定于进程的安全描述符创建访问令牌
- 如何获取内核对象的安全描述符
- 为什么仅仅边界描述符的安全设置是不够的
