的环境变量不仅取决于从用户SID但的SessionID太多,因为有些变量是每个会话。
我们可以在注册表中查看HKEY_USERS\<SID>\Volatile Environment
用户环境变量。和SessionId
这里存在子密钥。下的子键 - 每个会话变量
所以CreateEnvironmentBlock
必须做下一个 - 获取用户SID从令牌,开放HKEY_USERS\<SID>\Volatile Environment
键,查询它的值。
则必须查询通过GetTokenInformation(hToken, TokenSessionId,)
和查询Volatile Environment\SessionId
子键SessionId
从令牌。
但由于错误系统使用SessionId
从当前进程PEB而不是从它获取它的标记。下一个代码是在系统DLL:
WCHAR buf[MAX_PATH];
StringCchPrintfW(buf, RTL_NUMBER_OF(buf),
L"%s\\%d", L"Volatile Environment", RtlGetCurrentPeb()->SessionId);
MOV RAX,GS:[60H] // RAX - > PEB
2c0h这在PEB偏移的SessionID的
当您从服务中执行应用程序 - PEB
中的SessionId
为0时,结果CLIENTNAME
和SESSIONNAME
未添加到环境块中。
这是常见的系统错误。为测试你可以运行两个cmd.exe
- 一个没有提升(执行从explorer.exe)和一个作为管理员(执行从svchost.exe -k netsvcs),然后运行在两个set
命令 - 它显示环境字符串。你可以注意到在没有提升cmd.exe
存在字符串SESSIONNAME=Console
(或SESSIONNAME=RDP-Tcp#N
如果你从rdp运行它)和,如果你在rdp,CLIENTNAME=DESKTOP-xxx
。但在提升(作为管理员运行)cmd.exe - 没有这个字符串。这是因为从的svchost.exe -k netsvcs具有SessionId
== 0
用于修复被称为CreateEnvironmentBlock
这可以是2路:
容易,但不正确:
_PEB* peb = RtlGetCurrentPeb();
DWORD _SessionId = peb->SessionId, SessionId, rcb;
if (GetTokenInformation(hToken, TokenSessionId, &SessionId, sizeof(SessionId), &rcb))
{
peb->SessionId = SessionId;
}
PVOID Environment;
BOOL fOk = CreateEnvironmentBlock(&Environment, hToken, FALSE);
peb->SessionId = _SessionId;
想法这里 - 临时替代SessionId
PEB到SessionId
从令牌。这将是工作。 bu在这里坏 - 如果另一个并行线程将使用SessionId
在PEB?
另一种方式,相对较大的代码,但正确 - 你自己通过SessionId
子键和扩展环境块。
void AddSessionEnv(HANDLE hToken, PVOID Environment, PVOID* pNewEnvironment)
{
SIZE_T cb = 1, len;
PWSTR sz = (PWSTR)Environment;
while (*sz)
{
len = wcslen(sz) + 1;
sz += len;
cb += len;
}
DWORD SessionId, rcb;
if (GetTokenInformation(hToken, TokenSessionId, &SessionId, sizeof(SessionId), &rcb))
{
PROFILEINFO pi = { sizeof(pi), PI_NOUI, L"*" };
if (LoadUserProfileW(hToken, &pi))
{
WCHAR SubKey[48];
swprintf(SubKey, L"Volatile Environment\\%d", SessionId);
HKEY hKey;
if (ERROR_SUCCESS == RegOpenKeyExW((HKEY)pi.hProfile, SubKey, 0, KEY_READ, &hKey))
{
cb *= sizeof(WCHAR);
ULONG cbNeed = 0x200, cbAllocated;
PVOID NewEnvironment;
do
{
if (NewEnvironment = LocalAlloc(0, cb + (cbAllocated = cbNeed)))
{
cbNeed = AddSessionEnv(hKey, (PWSTR)NewEnvironment, cbAllocated);
if (cbNeed && cbAllocated >= cbNeed)
{
memcpy((PBYTE)NewEnvironment + cbNeed, Environment, cb);
*pNewEnvironment = NewEnvironment;
break;
}
LocalFree(NewEnvironment);
}
} while (cbNeed);
RegCloseKey(hKey);
}
UnloadUserProfile(hToken, pi.hProfile);
}
}
}
static volatile UCHAR guz;
ULONG AddSessionEnv(HANDLE hKey, PWSTR sz, ULONG Length)
{
LONG status;
PVOID stack = alloca(guz);
ULONG TotalLength = 0, DataLength, Index = 0, cb = 0, rcb = sizeof(KEY_VALUE_FULL_INFORMATION) + 256;
union {
PVOID buf;
PKEY_VALUE_FULL_INFORMATION pkvfi;
};
do
{
do
{
if (cb < rcb) cb = RtlPointerToOffset(buf = alloca(rcb - cb), stack);
if (0 <= (status = ZwEnumerateValueKey(hKey, Index, KeyValueFullInformation, buf, cb, &rcb)) &&
pkvfi->Type == REG_SZ &&
(DataLength = pkvfi->DataLength) &&
!(DataLength & (sizeof(WCHAR) - 1)))
{
static const UNICODE_STRING CharSet = { 2 * sizeof(WCHAR), 2 * sizeof(WCHAR), L"="};
USHORT NonInclusivePrefixLength;
UNICODE_STRING Name = { (USHORT)pkvfi->NameLength, Name.Length, pkvfi->Name };
// not add strings which containing 0 or `=` symbol or emply
if (Name.Length && RtlFindCharInUnicodeString(0, &Name, &CharSet, &NonInclusivePrefixLength) == STATUS_NOT_FOUND)
{
UNICODE_STRING Value = {
(USHORT)DataLength,
Value.Length,
(PWSTR)RtlOffsetToPointer(pkvfi, pkvfi->DataOffset)
};
PWSTR szEnd = (PWSTR)RtlOffsetToPointer(Value.Buffer, DataLength - sizeof(WCHAR));
if (!*szEnd) Value.Length -= sizeof(WCHAR);
// not add empty strings or containing 0 or `=` symbol
if (Value.Length && RtlFindCharInUnicodeString(0, &Value, &CharSet, &NonInclusivePrefixLength) == STATUS_NOT_FOUND)
{
ULONG cbNeed = Name.Length + 2 * sizeof(WCHAR) + Value.Length;
if (Length >= cbNeed)
{
sz += 1 + swprintf(sz, L"%wZ=%wZ", &Name, &Value), Length -= cbNeed;
}
else
{
Length = 0;
}
TotalLength += cbNeed;
}
}
}
} while (status == STATUS_BUFFER_OVERFLOW || status == STATUS_BUFFER_TOO_SMALL);
Index++;
} while (status != STATUS_NO_MORE_ENTRIES);
return TotalLength;
}
,并使用此代码:
PVOID Environment, NewEnvironment = 0;
if (CreateEnvironmentBlock(&Environment, hToken, FALSE))
{
AddSessionEnv(hToken, Environment, &NewEnvironment);
CreateProcessAsUserW(hToken, *, CREATE_UNICODE_ENVIRONMENT,
NewEnvironment ? NewEnvironment : Environment, *);
if (NewEnvironment)
{
LocalFree(NewEnvironment);
}
DestroyEnvironmentBlock(Environment);
}
的RtlFindCharInUnicodeString
的定义,我用,对于舒适
enum {
RTL_FIND_CHAR_IN_UNICODE_STRING_START_AT_END = 1,
RTL_FIND_CHAR_IN_UNICODE_STRING_COMPLEMENT_CHAR_SET = 2,
RTL_FIND_CHAR_IN_UNICODE_STRING_CASE_INSENSITIVE = 4
};
NTSYSAPI
NTSTATUS
NTAPI
RtlFindCharInUnicodeString(
ULONG Flags,
PCUNICODE_STRING StringToSearch,
PCUNICODE_STRING CharSet,
USHORT *NonInclusivePrefixLength
);
你叫'CreateEnvironmentBlock' - 所以有什么问题的样子 - 是'newEnvironment'中存在'CLIENTNAME'字符串?和'我把这个令牌转换成一个主令牌' - 'WTSQueryUserToken'获得主访问令牌 - 所以没有必要转换 – RbMm
@RbMm我会写一些代码,通过'newEnvironment'数组。如果我使用'DuplicateTokenEx'将主令牌转换为主令牌,会造成一些伤害吗? – wolf633
不,如果你打电话给'DuplicateTokenEx'm但是为了你需要复制它,这将不会有什么坏处?你可以像从WTSQueryUserToken中返回一样使用它。你需要看'PWSTR sz =(PWSTR)lpEnvironment; \t \t \t而(* SZ) \t \t \t { \t \t \t \t DbgPrint( “%S \ n” 个,SZ); \t \t \t \t sz + = wcslen(sz)+ 1; \t \t \t}'是'CLIENTNAME'出现。如果它没有出现在块中 - 它将不会出现在子进程中。如果它存在 - 可能是你不使用'CreateProcessAsUser'中的'CREATE_UNICODE_ENVIRONMENT'标志 – RbMm