windows令牌创建过程

最新推荐文章于 2025-06-20 10:55:18 发布
原创 最新推荐文章于 2025-06-20 10:55:18 发布 · 2.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

深入探讨Windows Vista及后续系统中管理员权限登录后出现的两个令牌及其产生机制,详细解释令牌与LogonSession的关系,以及权限过滤的过程。

大家都知道,在windows vista及以后的操作系统,有管理员权限的用户登录成功后,会存在两个令牌,一个为权限完整的令牌,一个为权限被过滤的令牌。并且如果用sysinternal工具logonsessions查看的话,这两个令牌属于不同的Logon Session。以上情况是如何产生的呢?请听我胡乱讲解一番。

用户交互认证登录时,登录信息被送至lsass进程中的指定认证包进行身份认证,认证通过后,会为此次认证过程创建logon session及相关的安全信息(组、权限、ACL等),lsass拿到这些信息后,创建相关的令牌,此令牌为未过滤的。并且本地权威子系统会检查其所属地用户组及权限,若其属于某个特定组或拥有某些权限,则会为其创建过滤受限的令牌。

查看CreateToken函数参数,有一个参数为__in PLUID LogonId, 即指定与Token相关的Logon Session,所以一个Token与一个Logon Session相关联啦。

MSDN对Logon Session的定义为

A logon session is a computing session that begins when a user authentication is successful and ends when the user logs off of the system.

根据调试信息,lsass创建logon session由lsasrv!LsapCreateLsaLogonSession负责,而创建令牌lsasrv!LsapCreateV2Token负责。

xbgprogrammer
关注
Windows进程创建过程详解(含PE文件加载)
谈成(C/C++)
05-18 2114
1.调用CreateProcessW打开指定可执行文件,并创建一个内存区对象。这里仅仅是打开exe文件,并没有将文件映射到内存中。打开exe是为了在后续创建进程过程中从exe头部中读取一些环境配置。 2.调用ntdll.dll中的NtCreateProcessEx系统服务。该函数仅仅是一个内核层对外的门户,其实ntdll.dll中几乎所有的API都是一个空壳,ntdll.dll的本质就是用户层和内核层之间的一道屏障。而这道屏障就是负责保护内核层的,防止用户层直接控制内核层。ntdll.dll中的API会对
Windows认证基础知识
qq_68163788的博客
01-12 2381
SSPI(Security Support Provider Interface ,安全支持提供程序接口):是windows操作系统中用于执行各种安全相关操作的公用API,可以用来获得身验证、信息完整性校验、信息隐私保等继承的安全服务SSP(Security Support Provider,安全支持提供程序):是一个用于实现身份验证的DDL文件。当操作系统启动时,SSP会被加载到LSA(Local Security Authority,本地安全机构)中。
windows令牌学习
bcbobo21cn的专栏
03-19 1380
访问令牌 访问令牌(Access Tokens)是Windows操作系统安全性的一个概念。 当用户登陆时,系统创建一个访问令牌,里面包含登录进程返回的SID和由本地安全策略分配给用户和用户的安全组的特权列表。 系统使用令牌控制用户可以访问哪些安全对象,并控制用户执行相关系统操作的能力。 有两种令牌:主令牌和模拟令牌。 主令牌是由windows内核创建并分配给进程的默认访问令牌,每一个进程有一个主令牌,它描述了与当前进程相关的用户帐户的安全上下文。 如果用sysinternal工具logonsession
windows令牌窃取
negnegil的博客
09-10 1896
令牌的定义 令牌是描述进程或者线程安全上下文的一个对象。不同的用户登录计算机后, 都会生成一个Access Token,这个Token在用户创建进程或者线程时会被使用,不断的拷贝,这也就解释了A用户创建一个进程而该进程没有B用户的权限。一般用户双击运行一个进程都会拷贝explorer.exe的Access Token。 Windows下的访问令牌分为: * 授权令牌(Delegation token):交互式会话登陆(例:本地用户登陆、用户桌面等) * 模拟令牌(Impersonation token):非
Windows创建进程的理解
wwpp的博客
06-27 1525
创建windows进程,需要考虑两个点,即session和权限问题。了解这两点,网络上服务创建界面进程,管理员权限进程创建普通权限进程的代码则很好理解。
Windows 令牌窃取
03-11 2296
简介 Window 令牌windows访问控制模型中的重要组成部分,主要用来对线程操作安全对象时对身份权限进行识别,获得了令牌,就可以在不提供密码或其他凭证的情况下访问网络和系统资源。这些令牌将持续存在于系统中 (除非系统重新启动)。 令牌的最大特点是随机性和不可预测性,一般的攻击者或软件都无法将令牌猜测出来。令牌一般分为以下几种: 访问令牌 (Access Token) 代表访问控制操作主体的系统对象。(本文主要讲 Windows 的 AccessToken) 密保令牌 (Security Token
Windows令牌的窃取探究
A_991128a的博客
09-13 306
本期技术分享,小星将与大家以“Windows令牌的窃取”为题展开讨论,从令牌分类、Access Token的窃取与利用以及CS利用三个方面展开叙述。
13、Windows 内存取证之进程、句柄和令牌分析
最新发布
qsc90123456的博客
06-20 86
本文探讨了Windows内存取证中进程、句柄和令牌的分析方法,重点包括识别异常进程、解析进程令牌以获取安全上下文信息、检测横向移动攻击、分析特权使用情况以及识别令牌操纵行为。通过使用内存取证工具如Volatility及其插件,可以深入挖掘隐藏的恶意行为,揭示实时系统API无法检测到的安全威胁。文中还详细解析了_TOKEN及相关数据结构,并通过实际案例展示了如何利用内存取证技术揭示攻击者的权限滥用和横向移动行为。
深入理解Windows进程创建机制与reactOS源码解析
Windows进程创建机制是通过一系列复杂的步骤和系统调用来完成的,这一过程涉及到多个组件和操作。 ### ReactOS操作系统和Windows内核 ReactOS是一个开源的操作系统,其目的是与Windows完全兼容。由于ReactOS试图...
PYTMIPE:提升Windows权限的Python令牌操作库
为便于理解和使用,pytmipe项目还提供了幻灯片“Windows令牌操作,模拟和特权升级”,这可能是一份技术演讲或培训材料,用于向目标受众介绍相关的概念、方法和操作步骤。此外,还提供了MISC 112(法语)中的文章,这...
创建token令牌的算法示例
12-30
这是一个token的示例,众所周知,token是用于后台服务器认证浏览器的一种技术,它弥补了cookie对数据大小限制和安全性问题
Windows访问令牌相关使用方法
weixin_34216196的博客
02-22 640
  一.OpenProcessToken 打开进程访问令牌 WINADVAPI BOOL WINAPI OpenProcessToken ( __in HANDLE ProcessHandle, __in DWORD DesiredAccess, __deref_out PHANDLE TokenHandle ); ...
windows安全模型--令牌(token)和安全描述符
软件人生
09-02 8317
      当一个程序访问一个资源时,需要有相应的访问权限。windwos安全模型中,有两个角色,一个就是访问者(进程),一个是被访问者(资源)。      资源,也可以成为安全对象,是广义的,可以是文件,目录,注册表,管道,命名句柄,进程,线程。每个安全对象都有一个安全描述符,里面有ACL(访问列表)。ACL由若干条ACE组成。每一条ACE标记了一条访问规则,就是一个SID(一会可以在访问者中看到它)被允许或拒绝做某个操作(如读、写、执行)。可以看出,每个资源(安全对象)记录了谁(SID,可以是多个)可以
【域渗透篇】windows主机提权之令牌窃取
shelter1234567的博客
07-16 862
Windows令牌窃取(Windows token stealing)是一种攻击技术,用于获取用户的访问权限并执行特权操作。在Windows操作系统中,每个用户登录后都会分配一个令牌(token),该令牌包含了用户的安全标识和权限信息。令牌用于验证用户对系统资源的访问权限。​ 令牌假冒(Token impersonation)是一种攻击技术,攻击者通过伪装成其他用户或进程的身份来获取访问权限。在计算机系统中,令牌是用于验证用户身份和授权访问资源的一种机制。
keystone令牌三种生成方式
weixin_30797199的博客
12-03 447
keystone认证方式:UUID、PKI、Fernet; 知识点复习: 通俗的讲,token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenSt...
令牌简介及原理(Token)
热门推荐
岁月净好
11-29 1万+
令牌(Token)就是系统的临时密钥,相当于账户名和密码,用来决定是否允许这次请求和判断这次请求时属于哪一个用户的.它允许你不提供密码或其他凭证的前提下,访问网络和系统资源.这些令牌将持续存在于系统中,除非系统重新启动.   令牌最大的特点就是随机性,不可预测,一般黑客或软件无法猜测出来,令牌有很多种,比如访问令牌(Access Token)表示访问控制操作主题的系统对象;密保令牌(Security token),又叫作认证令牌或者硬件令牌,是一种计算机身份校验的物理设备,例如U盾;会话令牌(Session
JAVA后端生成Token(令牌)防止前端重复提交
zhaoyang10的专栏
07-02 6899
JAVA后端生成Token(令牌),用于校验客户端 https://blog.youkuaiyun.com/myjbase/article/details/91869360
Windows操作系统的进程概要
甜筒八部 的专栏
12-05 843
什么是进程 一个正在运行的程序实例。它由两部分组成: 一个内核对象,操作系统用内核对象管理进程,内核对象是保存进程统计信息的地方。 一个地址空间,它包含所有exe,dll模块的代码和数据,还有动态内存分配,比如线程堆栈和堆的分配。 一个进程内的所有线程,都在进程的地址空间中同时指向代码。线程有一组CPU寄存器和它的堆栈。 当系统创建一个进程的时候,会自动为进程创建第一个线程,即主线程(main函数开始)。当线程执行完代码,线程就结束,主线程结束,系统会销毁进程收回地址空间。 系统为线程的运行分配
[网络安全自学篇] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC)
qq_53058639的博客
09-22 189
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充相关知识点。第六篇文章主要介绍木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC,希望对您有所帮助。如果把权限看作是门禁卡,那么计算机便是一栋拥有许多门禁的大楼,要想进入一个房间或办公室,则需要拥有对应房间的门禁卡。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值