一直在使用的进程提权,今天在这里做个简单的小结。
进程提权需要使用到一组Windows API有:
1.OpenProcessToken
2.LookupPrivilegeValue
3.AdjustTokenPrivileges
值得注意的是,使用这组函数提升权限的前提是进程具备该权限,只是访问令牌中没有启用该权限。如果进程的访问令牌中本身就没有关联该权限,那么AdjustTokenPrivileges函数调用将会返回ERROR_NOT_ALL_ASSIGNED(值为1300L)的错误码。
0x01 OpenProcessToken
BOOL WINAPI OpenProcessToken( __in HANDLE ProcessHandle, //进程句柄(当前进程为GetCurrentProcess()为参数) __in DWORD DesiredAccess, //访问令牌特权 __out PHANDLE TokenHandle //返回的参数,就是AdjustTokenPrivileges的第一个参数 );
注意第二个参数令牌的权限,这个权限是要有修改权限的特权(TOKEN_ADJUST_PRIVILEGES),意思就是要把程序的权限修改得更高。所有权限可以写TOKEN_ALL_ACCESS ,去查看一个令牌特权可以用TOKEN_QUERY
HANDLE ProcessHandle = GetCurrentProcess();
HANDLE TokenHandle = NULL;
if (!OpenProcessToken(ProcessHandle, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &TokenHandle))
{
return FALSE;
}
0x02 TOKEN_PRIVILEGES结构
typedef struct _TOKEN_PRIVILEGES
{
DWORD PrivilegeCount; //要修改的特权数目
LUID_AND_ATTRIBUTES Privileges[ANYSIZE_ARRAY]; //特权数组
}TOKEN_PRIVILEGES;
LUID_AND_ATTRIBUTES 结构体:
typedef struct _LUID_AND_ATTRIBUTES
{
LUID Luid; //一个标志,不同的Luid代表着各种不同的特权类型
DWORD Attributes; //要这个特权干嘛,如启用这个特权(SE_PRIVILEGE_ENABLED)
} LUID_AND_ATTRIBUTES;
0x03 LookupPrivilegeValue
BOOL WINAPI LookupPrivilegeValue( __in_opt LPCTSTR lpSystemName, //系统的名字,如果为NULL,就是本地名字(这里就填NULL) __in LPCTSTR lpName, //特权的名字 __out PLUID lpLuid //通过指针返回一个LUID类型的Luid的标识,这个值就就可以填入刚才的结构体里了。 );
0x04 AdjustTokenPrivilege
BOOL WINAPI AdjustTokenPrivileges( __in HANDLE TokenHandle, //OpenProcessToken第三个指针参数传出的句柄值 __in BOOL DisableAllPrivileges, //是否禁用所有所有的特权(这里填false) __in_opt PTOKEN_PRIVILEGES NewState, //新的TOKEN_PRIVILEGES的特权结构体指针 __in DWORD BufferLength, //上面结构体的字节长度(sizeof) __out_opt PTOKEN_PRIVILEGES PreviousState, //接受原先的特权的结构体 __out_opt PDWORD ReturnLength //结构体的字节长度的指针 );
进程提权中后两个参数不用管。
MSDN叙述:
如果第五个参数不是NULL,在OpenProcessToken加特权时除了需要指定TOKEN_ADJUST_PRIVILEGES还必须指定TOKEN_QUERY
如果第五个参数是NULL,你不接受原先的结构体(第六个当然也是NULL), 就不用再指定附加的TOKEN_QUERY的特权了。
还要注意:
就算这个函数返回为真,还要调用GetLastError()来检验是否完全成功。如果GetLastError()==ERROR_SUCCESS就代表修改非常成功 ,这个非常重要!!
源代码:
BOOL EnableSeDebugPrivilege(IN const CHAR* PriviledgeName, BOOL IsEnable);
if (EnableSeDebugPrivilege("DebugPrivilege", TRUE) == FALSE)
{
}
BOOL EnableSeDebugPrivilege(IN const CHAR* PriviledgeName, BOOL IsEnable)
{
// 打开权限令牌
HANDLE ProcessHandle = GetCurrentProcess();
HANDLE TokenHandle = NULL;
TOKEN_PRIVILEGES TokenPrivileges = { 0 };
if (!OpenProcessToken(ProcessHandle, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &TokenHandle))
{
return FALSE;
}
LUID v1;
if (!LookupPrivilegeValue(NULL, PriviledgeName, &v1)) // 通过权限名称查找uID
{
CloseHandle(TokenHandle);
TokenHandle = NULL;
return FALSE;
}
TokenPrivileges.PrivilegeCount = 1; // 要提升的权限个数
TokenPrivileges.Privileges[0].Attributes = IsEnable == TRUE ? SE_PRIVILEGE_ENABLED : 0; // 动态数组,数组大小根据Count的数目
TokenPrivileges.Privileges[0].Luid = v1;
if (!AdjustTokenPrivileges(TokenHandle, FALSE, &TokenPrivileges,
sizeof(TOKEN_PRIVILEGES), NULL, NULL))
{
CloseHandle(TokenHandle);
TokenHandle = NULL;
return FALSE;
}
CloseHandle(TokenHandle);
TokenHandle = NULL;
return TRUE;
}