OpenProcessToken для процессов LOCAL SERVICE и NETWORK SERVICE

[M.A.R.K]

При обработке процессов (получение привилегий) все работает нормально, но если этот процесс от NETWORK SERVICE и LOCAL SERVICE то доступ блокируется.
1) Возможно моему процессу нехватает привилегии (какой?).
2) Возможно OpenProcessToken имеет неправильный флаг доступа, я использую TOKEN_QUERY = &H8.
Как считаете, что не так?

[rpy3uH]

1) попробуй включить для себя привилегию SeDebugPrivilege
2) TOKEN_ALL_ACCESS пробовал?

[M.A.R.K]

Цитата:

Сообщение от rpy3uH

1) попробуй включить для себя привилегию SeDebugPrivilege
2) TOKEN_ALL_ACCESS пробовал?

1) Сразу попробовал...
2) Естественно пробовал...

Как ты думаешь,что если добавить и подключить SeTcbPrivilege?

[rpy3uH]

ну попробуй

[Ins]

Если код ошибки = ERROR_ACCESS_DENITED, значит у этого токена выставлены такие разрешения, которые запрещают тебе его открывать. И сделать ты ничего не сможешь.

[M.A.R.K]

Цитата:

Сообщение от Ins

Если код ошибки = ERROR_ACCESS_DENITED, значит у этого токена выставлены такие разрешения, которые запрещают тебе его открывать. И сделать ты ничего не сможешь.

Тогда, как быть с "LsaOpenPolicy" и "LsaAddAccountRights"?

[Ins]

Цитата:

Тогда, как быть с "LsaOpenPolicy" и "LsaAddAccountRights"?

А причем тут они? С помощью этих функций ты сможешь добавить привилегии учеткам, которые будут включены в маркер при следующем логоне. Но привилегии - это одно, их список ограниченный и назначение определенное, а разрешения, выставленные в DACL - это другое.
Тебе вообще слова маркер доступа (Token), дескриптор защиты (SD), список контроля доступа (DACL) что либо говорят? Если ты думаешь, что обладая нужными привилегиями, ты сможешь обходить все механизмы защиты, ты ошибаешься. Если не говорят, то рекомендую почитать Соломона с Руссиновичем, или на худой конец это:
http://www.delphikingdom.com/asp/vie...catalogid=1322

PS: Хотя, честно говоря, у меня есть одна мысль по поводу того, как все-таки будучи админом, можно заполучить хэндл нужного тебе маркера. Вот только не уверен, будет ли работать, но попробовать можно. Прежде, чем тебе эту мысль сказать - рекомендую почитать статью, ссылку на которую я привел выше, иначе ты мою мысль просто не поймешь.

[M.A.R.K]

Ins, большое спасибо! статья просто замечательная...
Какая твоя мысль?

[Ins]

Ну а мысль - такая.
1. У администратора есть привилегия:
SE_TAKE_OWNERSHIP_NAME = 'SeTakeOwnershipPrivilege';
Правда она находится в отключенном состоянии (необходимо включать явно через AdjustTokenPrivilege). Эта привилегия позволяет ему стать владельцем (Owner) любого объекта. Зачем нам становиться владельцем? Об этом ниже.
2. Система защиты устроена таким образом, что не только DACL определяет кому и какой вид доступа предоставить. Ключевую роль также играет владелец. А именно - за владельцем всегда остается право менять разрешения на свое усмотрение. Таким образом, если доступ нам запрещен, но мы являемся владельцем - мы можем этот доступ себе включить.

Т.е. последовательность действий:
1. Включаем привилегию SE_TAKE_OWNERSHIP_NAME.
2. OpenProcessToken с маской доступа WRITE_OWNER. Нам будет разрешено из-за наличия привилегии
3. SetSecurityInfo (второй параметр - SE_KERNEL_OBJECT) - назначаем владельцем себя
4. Закрываем токен - CloseHandle
5. Снова открываем токен с маской WRITE_DAC. Нам будет разрешено, так как мы являемся владельцем.
6. Создаем DACL и добавляем туда ACE, дающий над доступ типа TOKEN_QUERY
7. SetSecurityInfo - назначаем объекту DACL
8. Закрываем токен - CloseHandle
9. Открываем токен с маской TOKEN_QUERY и работаем. Нам будет разрешено, так как это явно записано в DACL

Если получится (эх, не уверен я...) - маякнешь, интересно

[M.A.R.K]

Ins, мысль тоже замечательная...
Пробую реализовать...