我一直在尝试使用 Windows API 的 CreateProcessAsUser
函数在特定用户的上下文中创建一个新进程,但似乎遇到了一个相当严重的安全问题...
在我进一步解释之前,这是我目前用来启动新进程的代码(一个控制台进程 - 具体来说是 PowerShell,尽管它应该无关紧要)。
private void StartProcess()
{
bool retValue;
// Create startup info for new console process.
var startupInfo = new STARTUPINFO();
startupInfo.cb = Marshal.SizeOf(startupInfo);
startupInfo.dwFlags = StartFlags.STARTF_USESHOWWINDOW;
startupInfo.wShowWindow = _consoleVisible ? WindowShowStyle.Show : WindowShowStyle.Hide;
startupInfo.lpTitle = this.ConsoleTitle ?? "Console";
var procAttrs = new SECURITY_ATTRIBUTES();
var threadAttrs = new SECURITY_ATTRIBUTES();
procAttrs.nLength = Marshal.SizeOf(procAttrs);
threadAttrs.nLength = Marshal.SizeOf(threadAttrs);
// Log on user temporarily in order to start console process in its security context.
var hUserToken = IntPtr.Zero;
var hUserTokenDuplicate = IntPtr.Zero;
var pEnvironmentBlock = IntPtr.Zero;
var pNewEnvironmentBlock = IntPtr.Zero;
if (!WinApi.LogonUser("UserName", null, "Password",
LogonType.Interactive, LogonProvider.Default, out hUserToken))
throw new Win32Exception(Marshal.GetLastWin32Error(), "Error logging on user.");
var duplicateTokenAttrs = new SECURITY_ATTRIBUTES();
duplicateTokenAttrs.nLength = Marshal.SizeOf(duplicateTokenAttrs);
if (!WinApi.DuplicateTokenEx(hUserToken, 0, ref duplicateTokenAttrs,
SECURITY_IMPERSONATION_LEVEL.SecurityImpersonation, TOKEN_TYPE.TokenPrimary,
out hUserTokenDuplicate))
throw new Win32Exception(Marshal.GetLastWin32Error(), "Error duplicating user token.");
try
{
// Get block of environment vars for logged on user.
if (!WinApi.CreateEnvironmentBlock(out pEnvironmentBlock, hUserToken, false))
throw new Win32Exception(Marshal.GetLastWin32Error(),
"Error getting block of environment variables for user.");
// Read block as array of strings, one per variable.
var envVars = ReadEnvironmentVariables(pEnvironmentBlock);
// Append custom environment variables to list.
foreach (var var in this.EnvironmentVariables)
envVars.Add(var.Key + "=" + var.Value);
// Recreate environment block from array of variables.
var newEnvironmentBlock = string.Join("\0", envVars.ToArray()) + "\0";
pNewEnvironmentBlock = Marshal.StringToHGlobalUni(newEnvironmentBlock);
// Start new console process.
retValue = WinApi.CreateProcessAsUser(hUserTokenDuplicate, null, this.CommandLine,
ref procAttrs, ref threadAttrs, false, CreationFlags.CREATE_NEW_CONSOLE |
CreationFlags.CREATE_SUSPENDED | CreationFlags.CREATE_UNICODE_ENVIRONMENT,
pNewEnvironmentBlock, null, ref startupInfo, out _processInfo);
if (!retValue) throw new Win32Exception(Marshal.GetLastWin32Error(),
"Unable to create new console process.");
}
catch
{
// Catch any exception thrown here so as to prevent any malicious program operating
// within the security context of the logged in user.
// Clean up.
if (hUserToken != IntPtr.Zero)
{
WinApi.CloseHandle(hUserToken);
hUserToken = IntPtr.Zero;
}
if (hUserTokenDuplicate != IntPtr.Zero)
{
WinApi.CloseHandle(hUserTokenDuplicate);
hUserTokenDuplicate = IntPtr.Zero;
}
if (pEnvironmentBlock != IntPtr.Zero)
{
WinApi.DestroyEnvironmentBlock(pEnvironmentBlock);
pEnvironmentBlock = IntPtr.Zero;
}
if (pNewEnvironmentBlock != IntPtr.Zero)
{
Marshal.FreeHGlobal(pNewEnvironmentBlock);
pNewEnvironmentBlock = IntPtr.Zero;
}
throw;
}
finally
{
// Clean up.
if (hUserToken != IntPtr.Zero)
WinApi.CloseHandle(hUserToken);
if (hUserTokenDuplicate != IntPtr.Zero)
WinApi.CloseHandle(hUserTokenDuplicate);
if (pEnvironmentBlock != IntPtr.Zero)
WinApi.DestroyEnvironmentBlock(pEnvironmentBlock);
if (pNewEnvironmentBlock != IntPtr.Zero)
Marshal.FreeHGlobal(pNewEnvironmentBlock);
}
_process = Process.GetProcessById(_processInfo.dwProcessId);
}
为了这里的问题,忽略处理环境变量的代码(我独立测试了那部分,它似乎有效。)
现在,我得到的错误如下(在调用 CreateProcessAsUSer
之后的行抛出):
"A required privilege is not held by the client" (error code 1314)
(错误信息是通过移除 Win32Exception 构造函数中的 message 参数发现的。诚然,我这里的错误处理代码可能不是最好的,但这是一个有点无关紧要的问题。如果你愿意,欢迎评论,但是。)对于这种情况下这种模糊错误的原因,我真的很困惑。 MSDN 文档和各种论坛线程只给了我这么多建议,尤其是考虑到此类错误的原因似乎千差万别,我不知道我需要修改哪一段代码。也许这只是我需要更改的一个参数,但据我所知,我可能会进行错误/不足的 WinAPI 调用。令我非常困惑的是,使用普通 CreateProcess
函数(除用户 token 参数外等同)的代码的先前版本工作得非常好。据我所知,只需要调用登录用户函数来接收适当的 token 句柄,然后复制它,以便它可以传递给 CreateProcessAsUser
。
非常欢迎任何修改代码的建议以及解释。
注意事项
我主要引用了 MSDN 文档(以及 PInvoke.net 的 C# 函数/strut/enum 声明)。尤其是以下页面,在备注部分似乎有很多信息,其中一些可能很重要,但我无法理解:
编辑
我刚刚尝试了 Mitch 的建议,但不幸的是,旧错误刚刚被新错误取代:“系统找不到指定的文件。” (错误代码 2)
先前对 CreateProcessAsUser
的调用已替换为以下内容:
retValue = WinApi.CreateProcessWithTokenW(hUserToken, LogonFlags.WithProfile, null,
this.CommandLine, CreationFlags.CREATE_NEW_CONSOLE |
CreationFlags.CREATE_SUSPENDED | CreationFlags.CREATE_UNICODE_ENVIRONMENT,
pNewEnvironmentBlock, null, ref startupInfo, out _processInfo);
请注意,此代码不再使用重复标记,而是使用原始标记,正如 MSDN 文档所建议的那样。
这是使用 CreateProcessWithLogonW
的另一种尝试。这次的错误是“登录失败:未知的用户名或密码错误”(错误代码1326)
retValue = WinApi.CreateProcessWithLogonW("Alex", null, "password",
LogonFlags.WithProfile, null, this.CommandLine,
CreationFlags.CREATE_NEW_CONSOLE | CreationFlags.CREATE_SUSPENDED |
CreationFlags.CREATE_UNICODE_ENVIRONMENT, pNewEnvironmentBlock,
null, ref startupInfo, out _processInfo);
我还尝试过以 UPN 格式(“Alex@Alex-PC”)指定用户名并将域作为第二个参数独立传递,但都无济于事(相同错误)。
最佳答案
啊...似乎我被 WinAPI 互操作编程中最大的陷阱之一捕获了。此外,在这种情况下,发布我的函数声明代码将是一个明智的主意。
无论如何,我需要做的就是向指定 CharSet = CharSet.Unicode
的函数的 DllImport 属性添加一个参数。这对 CreateProcessWithLogonW
和 CreateProcessWithTokenW
函数起到了作用。我想我终于意识到函数名称的 W 后缀指的是 Unicode,我需要在 C# 中明确指定它!以下是正确的函数声明,以防有人感兴趣:
[DllImport("advapi32", CharSet = CharSet.Unicode, SetLastError = true)]
public static extern bool CreateProcessWithLogonW(string principal, string authority,
string password, LogonFlags logonFlags, string appName, string cmdLine,
CreationFlags creationFlags, IntPtr environmentBlock, string currentDirectory,
ref STARTUPINFO startupInfo, out PROCESS_INFORMATION processInfo);
[DllImport("advapi32", CharSet = CharSet.Unicode, SetLastError = true)]
public static extern bool CreateProcessWithTokenW(IntPtr hToken, LogonFlags dwLogonFlags,
string lpApplicationName, string lpCommandLine, CreationFlags dwCreationFlags,
IntPtr lpEnvironment, string lpCurrentDirectory, [In] ref STARTUPINFO lpStartupInfo,
out PROCESS_INFORMATION lpProcessInformation);
关于c# - 从 C# 调用 CreateProcessAsUser,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/668389/