美文网首页
提升进程权限-OpenProcessToken等函数的用法

提升进程权限-OpenProcessToken等函数的用法

作者: 星星之火666 | 来源:发表于2019-05-29 01:31 被阅读0次
    • 1.OpenProcessToken
    • 2.LookupPrivilegeValue
    • 3.AdjustTokenPrivileges

    总结一点:以上函数只是启用已有的禁用的令牌权限而已。

    • 检查当前用户的已有(特权)令牌权限: cmd 下 whoami /priv

    参考链接:提升进程权限-OpenProcessToken等函数的用法

    文章一:

    在枚举/结束系统进程或操作系统服务时,会出现自己权限不足而失败的情况,这时就需要提升自己进程到系统权限,其实提升权限的代码很简单的,看到过的最经典的应该是《WINDOWS核心编程》第四章中操作进程给出的那个函数了,如果我们真的不了解它的操作也不要紧,因为只要在你需要的地方调用下面这个函数就是了,以下是它的代码:

    BOOL EnablePriv()
    {
    HANDLE hToken;
    if ( OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken) )
    {
           TOKEN_PRIVILEGES tkp;
          
           LookupPrivilegeValue( NULL,SE_DEBUG_NAME,&tkp.Privileges[0].Luid );//修改进程权限
           tkp.PrivilegeCount=1;
           tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
           AdjustTokenPrivileges( hToken,FALSE,&tkp,0,NULL,NULL );//通知系统修改进程权限
          
           return( (GetLastError()==ERROR_SUCCESS) );
    }
           return TRUE;
    }
    

    文章二:

    GetCurrentProcessID 得到当前进程的ID OpenProcessToken 得到进程的令牌句柄LookupPrivilegeValue 查询进程的权限 AdjustTokenPrivileges 判断令牌权限

    要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作,只要当前进程具有SeDeDebug权限就可以了。要是一个用户是Administrator或是被给予了相应的权限,就可以具有该权限。可是,就算我们用Administrator帐号对一个系统安全进程执行OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwProcessID)还是会遇到“访问拒绝”的错误。什么原因呢?原来在默认的情况下进程的一些访问权限是没有被使能(Enabled)的,所以我们要做的首先是使能这些权限。与此相关的一些API函数有OpenProcessToken、LookupPrivilegevalue、AdjustTokenPrivileges。我们要修改一个进程的访问令牌,首先要获得进程访问令牌的句柄,这可以通过OpenProcessToken得到,函数的原型如下:

    BOOL OpenProcessToken(
    HANDLE ProcessHandle,
    DWORD DesiredAccess,
    PHANDLE TokenHandle
    );
    第一参数是要修改访问权限的进程句柄;第三个参数就是返回的访问令牌指针;第二个参数指定你要进行的操作类型,如要修改令牌我们要指定第二个参数为TOKEN_ADJUST_PRIVILEGES(其它一些参数可参考Platform SDK)。通过这个函数我们就可以得到当前进程的访问令牌的句柄(指定函数的第一个参数为GetCurrentProcess()就可以了)。接着我们可以调用AdjustTokenPrivileges对这个访问令牌进行修改。AdjustTokenPrivileges的原型如下:
    BOOL AdjustTokenPrivileges(
    HANDLE TokenHandle, // handle to token
    BOOL DisableAllPrivileges, // disabling option
    PTOKEN_PRIVILEGES NewState, // privilege information
    DWORD BufferLength, // size of buffer
    PTOKEN_PRIVILEGES PreviousState, // original state buffer
    PDWORD ReturnLength // required buffer size
    );
    第一个参数是访问令牌的句柄;第二个参数决定是进行权限修改还是除能(Disable)所有权限;第三个参数指明要修改的权限,是一个指向TOKEN_PRIVILEGES结构的指针,该结构包含一个数组,数据组的每个项指明了权限的类型和要进行的操作; 第四个参数是结构PreviousState的长度,如果PreviousState为空,该参数应为NULL;第五个参数也是一个指向TOKEN_PRIVILEGES结构的指针,存放修改前的访问权限的信息,可空;最后一个参数为实际PreviousState结构返回的大小。在使用这个函数前再看一下TOKEN_PRIVILEGES这个结构,其声明如下:

    typedef struct _TOKEN_PRIVILEGES {
    DWORD PrivilegeCount;
    LUID_AND_ATTRIBUTES Privileges[];
    } TOKEN_PRIVILEGES, *PTOKEN_PRIVILEGES;
    PrivilegeCount指的数组原素的个数,接着是一个LUID_AND_ATTRIBUTES类型的数组,再来看一下LUID_AND_ATTRIBUTES这个结构的内容,声明如下:

    typedef struct _LUID_AND_ATTRIBUTES {
    LUID Luid;
    DWORD Attributes;
    } LUID_AND_ATTRIBUTES, *PLUID_AND_ATTRIBUTES

    第二个参数就指明了我们要进行的操作类型,有三个可选项: SE_PRIVILEGE_ENABLED、SE_PRIVILEGE_ENABLED_BY_DEFAULT、SE_PRIVILEGE_USED_FOR_ACCESS。要使能一个权限就指定Attributes为SE_PRIVILEGE_ENABLED。第一个参数就是指权限的类型,是一个LUID的值,LUID就是指locally unique identifier,我想GUID大家是比较熟悉的,和GUID的要求保证全局唯一不同,LUID只要保证局部唯一,就是指在系统的每一次运行期间保证是唯一的就可以了。另外和GUID相同的一点,LUID也是一个64位的值,相信大家都看过GUID那一大串的值,我们要怎么样才能知道一个权限对应的LUID值是多少呢?这就要用到另外一个API函数LookupPrivilegevalue,其原形如下:

    BOOL LookupPrivilegevalue(
    LPCTSTR lpSystemName, // system name
    LPCTSTR lpName, // privilege name
    PLUID lpLuid // locally unique identifier
    );
    第一个参数是系统的名称,如果是本地系统只要指明为NULL就可以了,第三个参数就是返回LUID的指针,第二个参数就是指明了权限的名称,如“SeDebugPrivilege”。在Winnt.h中还定义了一些权限名称的宏,如:

    #define SE_BACKUP_NAME TEXT("SeBackupPrivilege")
    #define SE_RESTORE_NAME TEXT("SeRestorePrivilege")
    #define SE_SHUTDOWN_NAME TEXT("SeShutdownPrivilege")
    #define SE_DEBUG_NAME TEXT("SeDebugPrivilege")
    

    这样通过这三个函数的调用,我们就可以用OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwProcessID)来打获得任意进程的句柄,并且指定了所有的访问权。

    定时关机程序代码:

    void CClosepcDlg::OnTimer(UINT nIDEvent)
    {
    // TODO: Add your message handler code here and/or call default
    CTime t=CTime::GetCurrentTime();
    int h=t.GetHour ();
    int min=t.GetMinute ();
    CString hh,mins;
    hh.Format ("%d",h);
    mins.Format ("%d",min);
    CString str=t.Format("%H:%M:%S");
    GetDlgItem(IDC_SHOW)->SetWindowText(str);
    /////////////////准备关机//////////////////////
    if(start && close_hour.CompareNoCase(hh)==0 && close_min.CompareNoCase(mins)==0)
    {
       KillTimer(1);
       /////////首先声明3个全局变量///////////BOOL fResult;TOKEN_PRIVILEGES tkp;HANDLE hToken;
            if (!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) //得到进程的令牌句柄;
       {
          MessageBox("OpenProcessToken failed!");
       }
    
         LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid); //获得本地机唯一的标识,查询权限
         tkp.PrivilegeCount = 1;
         tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
            AdjustTokenPrivileges(hToken, FALSE, &tkp, 0,(PTOKEN_PRIVILEGES) NULL, 0); //调整获得的权限
       
         if (GetLastError() != ERROR_SUCCESS)
       {
                MessageBox("AdjustTokenPrivileges enable failed!");
       }
    
         fResult =InitiateSystemShutdown(
                 NULL,                                  // 要关的计算机用户名
                 "你设置的自动关机时间以到,请保存好你的文件,系统马上就要关闭!", // 显示的消息
                 20,                                    // 关机所需的时间
                 TRUE,                                 // ask user to close apps
         //        TRUE);                               //设为TRUE为重起,设为FALSE为关机
        FALSE);
         if(!fResult)
       {
                 MessageBox("InitiateSystemShutdown failed.");
       }
    
         tkp.Privileges[0].Attributes = 0;
            AdjustTokenPrivileges(hToken, FALSE, &tkp, 0,(PTOKEN_PRIVILEGES) NULL, 0);
    
         if (GetLastError() != ERROR_SUCCESS)
       {
                 MessageBox("AdjustTokenPrivileges disable failed.");
       }
    
         ExitWindowsEx(EWX_SHUTDOWN,0);
    }
    CDialog::OnTimer(nIDEvent);
    }
    
    void CClosepcDlg::OnStar()
    {
    // TODO: Add your control notification handler code here
    start=true;
    ShowWindow(SW_HIDE);
    //////////////////定义系统托盘//////////////////////////
    m_nid.cbSize =sizeof(NOTIFYICONDATA);//设置结构大小
    m_nid.hWnd =this->m_hWnd ;//设置图标对应的窗口
    m_nid.uFlags =NIF_MESSAGE|NIF_ICON|NIF_TIP;//图标属性
    m_nid.uCallbackMessage =MYWM_NOTIFYICON;//应用程序定义的回调消息ID
    ////////////设置NOTIFYICONDATA结构///////////
    CString szToolTip;
    szToolTip=_T("自动关机程序");
    _tcscpy(m_nid.szTip ,szToolTip);//帮助信息
    m_nid.uID =IDR_MAINFRAME;//应用程序图标
    HICON hIcon;
    hIcon=AfxGetApp()->LoadIcon (IDR_MAINFRAME);
    m_nid.hIcon =hIcon;//图标句柄
    // PNOTIFYICONDATA m_pnid=&m_nid;
    ::Shell_NotifyIcon (NIM_ADD,&m_nid);//增加图标到系统盘
    if(hIcon)
       ::DestroyIcon (hIcon);
    
    }
    
    LRESULT CClosepcDlg::WindowProc(UINT message, WPARAM wParam, LPARAM lParam)
    {
    switch(message)
    {
    case MYWM_NOTIFYICON:
       if(lParam==WM_LBUTTONDBLCLK)
       {
        AfxGetApp()->m_pMainWnd->ShowWindow(SW_SHOW);
       }
       else if(lParam==WM_RBUTTONDOWN)
       {
        CMenu menu;
        menu.LoadMenu(IDR_MENU1);
        CMenu *pMenu=menu.GetSubMenu(0);
        CPoint pos;
        GetCursorPos(&pos);
        pMenu->TrackPopupMenu(TPM_LEFTALIGN|TPM_RIGHTBUTTON,pos.x,pos.y,AfxGetMainWnd());
       }
       break;
    case WM_SYSCOMMAND:
       if(wParam==SC_MINIMIZE)
       {
        //////////////////定义系统托盘//////////////////////////
        m_nid.cbSize =sizeof(NOTIFYICONDATA);//设置结构大小
        m_nid.hWnd =this->m_hWnd ;//设置图标对应的窗口
        m_nid.uFlags =NIF_MESSAGE|NIF_ICON|NIF_TIP;//图标属性
        m_nid.uCallbackMessage =MYWM_NOTIFYICON;//应用程序定义的回调消息ID
        ////////////设置NOTIFYICONDATA结构///////////
        CString szToolTip;
        szToolTip=_T("自动关机程序");
        _tcscpy(m_nid.szTip ,szToolTip);//帮助信息
        m_nid.uID =IDR_MAINFRAME;//应用程序图标
        HICON hIcon;
        hIcon=AfxGetApp()->LoadIcon (IDR_MAINFRAME);
        m_nid.hIcon =hIcon;//图标句柄
    //    PNOTIFYICONDATA m_pnid=&m_nid;
        ::Shell_NotifyIcon (NIM_ADD,&m_nid);//增加图标到系统盘
        if(hIcon)
         ::DestroyIcon (hIcon);
        AfxGetApp()->m_pMainWnd->ShowWindow(SW_HIDE);
        return 0;
       }
       break;
    }
    return CDialog::WindowProc(message, wParam, lParam);
    }
    
    void CClosepcDlg::OnQuit()
    {
    // TODO: Add your command handler code here
    PostQuitMessage(0);
    }
    
    void CClosepcDlg::OnShow()
    {
    // TODO: Add your command handler code here
    ShowWindow(1);
    ::Shell_NotifyIcon(NIM_DELETE,&m_nid);
    }
    
    void CClosepcDlg::OnStop()
    {
    // TODO: Add your command handler code here
    start=false;
    ShowWindow(1);
    ::Shell_NotifyIcon(NIM_DELETE,&m_nid);
    
    }
    
    void CClosepcDlg::OnSelchangeHour()
    {
    m_hour.GetWindowText(close_hour);
    }
    
    void CClosepcDlg::OnSelchangeMin()
    {
    m_min.GetWindowText (close_min);
    } 
    

    文章三:

    windows的每个用户登录系统后,系统会产生一个访问令牌(access token) ,其中关联了当前用户的权限信息,用户登录后创建的每一个进程都含有用户access token的拷贝,当进程试图执行某些需要特殊权限的操作或是访问受保护的内核对象时,系统会检查其acess token中的权限信息以决定是否授权操作。Administrator组成员的access token中会含有一些可以执行系统级操作的特权(privileges) ,如终止任意进程、关闭/重启系统、加载设备驱动和更改系统时间等,不过这些特权默认是被禁用的,当Administrator组成员创建的进程中包含一些需要特权的操作时,进程必须首先打开这些禁用的特权以提升自己的权限,否则系统将拒绝进程的操作。注意,非Administrator组成员创建的进程无法提升自身的权限,因此下面提到的进程均指Administrator组成员创建的进程。

    Windows以字符串的形式表示系统特权,如“SeCreatePagefilePrivilege”表示该特权用于创建页面文件,“SeDebugPrivilege”表示该特权可用于调试及更改其它进程的内存,为了便于在代码中引用这些字符串,微软在winnt.h中定义了一组宏,如 #define SE_DEBUG_NAME TEXT("SeDebugPrivilege")。完整的特权列表可以查阅msdn的security一章。虽然Windows使用字符串表示特权,但查询或更改特权的API需要LUID来引用相应的特权,LUID表示local unique identifier,它是一个64位值,在当前系统中是唯一的。为了提升进程权限到指定的特权,我们必须先找到该特权对应的LUID,这时要调用LookupPrivilegeValue函数。

    获得特权对应的LUID之后,我们要打开该特权。此时要用到LUID_AND_ATTRIBUTES结构,其定义如下:

    typedef struct _LUID_AND_ATTRIBUTES {
    LUID Luid;
    DWORD Attributes;
    } LUID_AND_ATTRIBUTES, * PLUID_AND_ATTRIBUTES;

    Attributes取SE_PRIVILEGE_ENABLED时将打开Luid对应的特权。设置完成后,我们需要调用AdjustTokenPrivileges函数通知操作系统将指定的access token权限中的特权置为打开状态,前面我们说过,进程执行需要特列权限的操作时系统将检查其access token,因此更改了进程的access token特权设置,也就是更改了所属进程的特权设置。AdjustTokenPrivileges函数的原型如下:

    BOOL WINAPI AdjustTokenPrivileges(
    __in HANDLE TokenHandle,
    __in BOOL DisableAllPrivileges,
    __in_opt PTOKEN_PRIVILEGES NewState,
    __in DWORD BufferLength,
    __out_opt PTOKEN_PRIVILEGES PreviousState,
    __out_opt PDWORD ReturnLength
    );

    TokenHandle是要更改特权设置的acess token的句柄,DisableAllPrivileges表示是否禁用该access token的所有特权,NewState用来传递要新的特权设置,注意它的类型是PTOKEN_PRIVILEGES,PTOKEN_PRIVILEGES是TOKEN_PRIVILEGES结构的指针,定义如下:

    typedef struct _TOKEN_PRIVILEGES {
    DWORD PrivilegeCount;
    LUID_AND_ATTRIBUTES Privileges[ANYSIZE_ARRAY];
    } TOKEN_PRIVILEGES, *PTOKEN_PRIVILEGES;

    其中ANYSIZE_ARRAY被定义为1,可以看到TOKEN_PRIVILEGES中包含了用于设置特权信息的LUID_AND_ATTRIBUTES结构,在使用时,只需要将PrivilegeCount赋为1,然后把Privileges数组的第1个元素(Privileges[0])的Luid域设置为指定特权的Luid,再将其Attributes域设置为SE_PRIVILEGE_ENABLED,就可以完成TokenHandle表示的access token权限的提升了。

    下面是一个实际的例子,用来将执行promoteProcessPrivilege的当前进程的指定特权打开,函数参数为指定的特权名,可以传递其宏定义,也可以是完整的字符串表示:

    BOOL promoteProcessPrivileges(const TCHAR* newPrivileges)
    {
        HANDLE tokenHandle;
        //获得当前进程的access token句柄
        if(::OpenProcessToken(::GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &tokenHandle) == FALSE)
            return FALSE;
        TOKEN_PRIVILEGES structTkp;
        //查找newPrivileges参数对应的Luid,并将结果写入structTkp.Privileges[0]的Luid域中
        if(::LookupPrivilegeValue(NULL, newPrivileges, &structTkp.Privileges[0].Luid) == FALSE){
            CloseHandle(tokenHandle);
            return FASLE;
        }
        //设置structTkp结构
        structTkp.PrivilegeCount = 1;
        structTkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
        //通知操作系统更改权限
        if(::AdjustTokenPrivileges(tokenHandle, FALSE, &structTkp, 0, NULL, NULL) == FALSE){
            CloseHandle(tokenHandle);
            return FALSE;
        }
        CloseHandle(tokenHandle);   
        return TRUE;
    }
    

    我们来用一个简单的例子验证promoteProcessPrivileges函数。下面的traceSystemProcess用于遍历当前系统进程,如果调用traceSystemProcess函数的进程以默认权限运行,对于如csrss.exe之类的进程,函数将没有足够的权限获得其模块名。如果在traceSystemProcess之前调用了promoteProcessPrivileges将进程权限提升至SE_DEBUG_NAME级别,traceSystemProcess函数将能正确打印出如csrss.exe等关键进程的路径:

    BOOL traceSystemProcess()
    {
        PROCESSENTRY32 processEntry;
        processEntry.dwSize = sizeof(processEntry);
    
        HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
        if(hProcessSnap == INVALID_HANDLE_VALUE){
            _tprintf(_T("CreateToolhelp32Snapshot 调用失败!/n"));
            return FALSE;
        }   
    
        BOOL bMore = ::Process32First(hProcessSnap, &processEntry);
        while(bMore){
            _tprintf(_T("进程名称:%s /n"), processEntry.szExeFile);
            _tprintf(_T("进程ID号:%u /n"), processEntry.th32ProcessID);
            HANDLE hProcess = ::OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, 
                                                        FALSE, processEntry.th32ProcessID);
            if(hProcess != NULL){
                TCHAR szBuffer[MAX_PATH] = {_T('/0')};
                if(::GetModuleFileNameEx(hProcess, NULL, szBuffer, MAX_PATH)){
                    _tprintf(_T("进程路径:%s /n"), szBuffer);
                }
                ::CloseHandle(hProcess);
            }
            _tprintf(_T("/n"));
            bMore = ::Process32Next(hProcessSnap,&processEntry);
        }
        ::CloseHandle(hProcessSnap);
        return TRUE;
    }
    

    测试结果不再列出,有兴趣的朋友可以自己试一试。

    相关文章

      网友评论

          本文标题:提升进程权限-OpenProcessToken等函数的用法

          本文链接:https://www.haomeiwen.com/subject/zzmstctx.html