讨论枚举当前Logon Session的问题

最新推荐文章于 2020-08-22 11:13:26 发布
最新推荐文章于 2020-08-22 11:13:26 发布
阅读量4.2k 收藏 2
点赞数 1
文章标签: session buffer authentication terminal domain user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xbgprogrammer/article/details/6959511
版权

     Windows提供了API函数LsaEnumerateLogonSessions 去枚举当前的Logon Session, Logon Session在msdn的定义是:

      A logon session begins whenever a user logs on to a computer. All processes in a logon session have the same primary access token. The access token contains information about the security context of the logon session, including the user's SID, thelogon identifier, and the logon SID.(请注意user‘s SID和logon SID是不同概念)。

      根据我的测试,在windows 7上,一个登录用户可以有一个以上的Logon Session,根据LogonSession -p的信息显示,有管理员运行权限的进程在一个Logon Session下,而其它的进程运行在另一个logon Session下,所以我推断一个登录用户可以有多个logon Session,每个logon session的进程有相同的访问权限(All processes in a logon session have the same primary access token)。

     LsaEnumerateLogonSessions不需要管理员权限,但是函数LsaGetLogonSessionData的调用者必须是拥有该session或者是本地的系统管理员,否则window错误码为5。

    以下为msdn的示例代码:

// EnumeratingLogonSessions.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>
#include <NTSecAPI.h>

#define STATUS_SUCCESS ((NTSTATUS)0x00000000L)

#pragma comment(lib,"Secur32.lib")

VOID GetSessionData(PLUID session)
{
	PSECURITY_LOGON_SESSION_DATA sessionData = NULL;
	NTSTATUS retval;
	WCHAR buffer[256];
	WCHAR *usBuffer;
	int usLength;

	// Check for a valid session.
	if (!session ) {
		wprintf(L"Error - Invalid logon session identifier.\n");
		return;
	}
	// Get the session information.
	//调用者必须是拥有该session或者是本地的系统管理员,否则window错误码为5
	retval = LsaGetLogonSessionData (session, &sessionData);
	if (retval != STATUS_SUCCESS) {
		// An error occurred. Tell the world.
		wprintf (L"LsaGetLogonSessionData failed %lu \n",
			LsaNtStatusToWinError(retval));
		// If session information was returned, free it.
		if (sessionData) {
			LsaFreeReturnBuffer(sessionData);
		}
		return;
	} 
	// Determine whether there is session data to parse. 
	if (!sessionData) { // no data for session
		wprintf(L"Invalid logon session data. \n");
		return;
	}
	if (sessionData->UserName.Buffer != NULL) {
		// Get the user name.
		usBuffer = (sessionData->UserName).Buffer;
		usLength = (sessionData->UserName).Length;
		if(usLength < 256)
		{
			wcsncpy_s (buffer, 256, usBuffer, usLength);
			wcscat_s (buffer, 256, L"");
		}
		else
		{
			wprintf(L"\nUser name too long for buffer. Exiting program.");
			return;
		}

		wprintf (L"user %s was authenticated ",buffer);
	} else {
		wprintf (L"\nMissing user name.\n");
		LsaFreeReturnBuffer(sessionData);
		return;
	}
	if ((SECURITY_LOGON_TYPE) sessionData->LogonType == Interactive) {
		wprintf(L"interactively ");
	}
	if (sessionData->AuthenticationPackage.Buffer != NULL) {
		// Get the authentication package name.
		usBuffer = (sessionData->AuthenticationPackage).Buffer;
		usLength = (sessionData->AuthenticationPackage).Length;
		if(usLength < 256)
		{
			wcsncpy_s (buffer, 256, usBuffer, usLength);
			wcscat_s (buffer, 256, L"");
		}
		else
		{
			wprintf(L"\nAuthentication package too long for buffer."
				L" Exiting program.");
			return;
		}
		wprintf(L"using %s ",buffer);
	} else {
		wprintf (L"\nMissing authentication package.");
		LsaFreeReturnBuffer(sessionData);
		return;
	}
	if (sessionData->LogonDomain.Buffer != NULL) {
		// Get the domain name.
		usBuffer = (sessionData->LogonDomain).Buffer;
		usLength = (sessionData->LogonDomain).Length;
		if(usLength < 256)
		{
			wcsncpy_s (buffer, 256, usBuffer, usLength);
			wcscat_s (buffer, 256, L"");
		}
		else
		{
			wprintf(L"\nLogon domain too long for buffer."
				L" Exiting program.");
			return;
		}
		wprintf(L"in the %s domain.\n",buffer);
	} else {
		wprintf (L"\nMissing authenticating domain information. ");
		LsaFreeReturnBuffer(sessionData);
		return;
	}
	// Free the memory returned by the LSA.
	LsaFreeReturnBuffer(sessionData);
	return;
}

int _tmain(int argc, _TCHAR* argv[])
{
	//LARGE_INTEGER示例,参加CPlusplus工程

	//当前用户名称
	DWORD buflen = 256;
	TCHAR buffer[256];
	BOOL bRet = GetUserName(buffer,&buflen);
	if (bRet)
	{
		wprintf(L"Current User : %s\n",buffer);
	}
	else
	{
		wprintf(L"Call GetUserName FALSE.\n");
	}

	PLUID sessions;
	ULONG count;
	NTSTATUS retval;
	int i;

	retval = LsaEnumerateLogonSessions(&count, &sessions);

	if (retval != STATUS_SUCCESS) {
		wprintf (L"LsaEnumerate failed %lu\n",
			LsaNtStatusToWinError(retval));
		return 1;
	} 
	wprintf (L"Enumerate sessions received %lu sessions.\n", count);

	// Process the array of session LUIDs...
	for (i =0;i < (int) count; i++) 
	{
		GetSessionData (&sessions[i]);
	}

	// Free the array of session LUIDs allocated by the LSA.
	LsaFreeReturnBuffer(sessions);

	getchar();

	return 0;
}

 

再编辑编辑,要不这只能算一篇摘抄文章了

 

      我说一下我理解的logon session和terminal service session的区别,logon session是根据登录用户及访问权限分类的,而terminal service session是根据服务和登录用户分类的。
     win 7系统上,服务的会话ID为0,而登录用户的会话ID为1、2...。

     在xp上,服务及第一个登录用户的会话ID位0,以后登录的用户会话ID位1、2....。

     

xbgprogrammer
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
LogonSession:基于获取登录会话信息的 PSTerminalServices 模块的 Windows PowerShell 模块
06-03
LogonSession PowerShell 模块 此模块允许您获取有关 Windows 计算机上的远程桌面和控制台登录会话的信息,并使您能够断开用户与他们的连接和/或将他们注销。 要求 PSTerminalServices PowerShell 模块 ( ) PowerShell 远程处理(获取会话在控制台锁定的时间) 用法 Import-Module LogonSession Get-LogonSession - ComputerName [ comp ] 返回 PowerShell 对象的集合,这些对象是您从 PSTerminalServices 模块的 Get-TSSession 函数获得的类型的略微修改版本。 然后,您可以查看有关它们的信息,或者调用Disconnect()或Logoff() / Logout()函数来强制断开或注销用户。
Enumerating Logon Sessions
weixin_33910385的博客
01-14 388
Introduction For quite a number of applications or services, it might be useful to know, whether a user is currently interactively logged on to a machine or not. Depending on a user currently logged ...
Logon Session Times
weixin_30663391的博客
06-19 220
How to Get User Logon Session Times from the Event Log To figure out user session time, you’ll first need to enable three advanced audit policies; Audit Logoff, Audit Logon and Audit Other Logon/Lo...
window工具箱 ProcessExplorer LogonSessions PEiD PendMoves PhysMem
08-01
ProcessExplorer LogonSessions PEiD PendMoves PhysMem 以及systeminternel网站上相关工具。。。 超值打包
使用 NLog 给 Asp.Net Core 做请求监控
weixin_30364325的博客
05-24 216
为了减少由于单个请求挂掉而拖垮整站的情况发生,给所有请求做统计是一个不错的解决方法,通过观察哪些请求的耗时比较长,我们就可以找到对应的接口、代码、数据表,做有针对性的优化可以提高效率。在asp.net web api中我们可以通过注册一个DelegatingHandler来实现该功能。那在asp.net core中该如何实现呢? 一:比较asp.net web api 和asp....
锁表的SESSION处理方法
10-08
选中特定SESSION后,可以看到其执行的SQL语句以及当前的锁信息。如果需要终止某个导致问题SESSION,通常可以通过右键点击该SESSION并选择"Kill"操作来结束它。 在进行此操作时,务必谨慎,因为这可能会中断其他...
W10 BG Logon Changer
02-15
【W10 BG Logon Changer】是一款专为Windows 10系统设计的工具,用于改变用户的登录屏幕背景。在Windows 10中,默认的登录界面背景可能不符合每个人的审美,这款软件提供了一种简单易用的方式来个性化你的电脑,让你...
django之session与分页(实例讲解)
09-21
当用户成功登录后,将`IS_LOGON`和`USER`值存入Session,然后重定向到主页。在主页视图中,检查Session的`IS_LOGON`值,如果已登录,则显示主页,否则重定向回登录页面。 接下来,我们转向分页功能。在Django中,...
Oracle中查看引起Session阻塞的2个脚本分享
09-10
这个脚本通过`v$locked_object`和`v$session`视图联接查询,列出了当前锁定对象的会话信息,包括用户名(username)、会话ID(sid)、序列号(serial#)以及登录时间(logon_time)。这样可以帮助我们识别哪些用户、...
fix协议logon实现
03-18
fix协议实现 logon消息 heart beat消息 ,验证了test request。
如何调整中注册表权限
06-17 3478
在NT/XP/2000下,注册表中有些键即时使用Administrators登录,也没有办法读取下面的数据,例如:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum,默认是无法读取的,碰到这种情况,我们一个方面可以利用regedt32来设置注册表的权限,但是对于用户来说可能不熟悉注册表的操作,那么我们的程序应该能够自动处理,怎么做呢?注意:
简单登陆升级版(加入验证码、在session时间内登陆logon.do直接进入成功登陆页面)
Recar的博客
12-10 2046
登陆添加验证码 随机验证码 session控制 session时间内不用再次登陆 点击验证码图片即可更新图片 源码
Windows NT Session 概念的原理与应用浅析 [1] 遍历并获取信息
chenyujing1234的专栏
10-15 2947
转载自: http://www.cnblogs.com/flier/archive/2004/07/19/25709.html   我在上一篇文章《DACL, NULL or not NULL》中曾简要地介绍了 Windows 系统中 Session 的概念,并且通过一个自己编写的小工具 KeSession 列出当前系统 Session 信息。本文中我将就遍历并获取当前系统 Session
用c++编写破解Windows密码程序
程序猿的博客
08-22 6028
用c++编写破解Windows密码程序 看好了 cpp文件 #include "CrackWinPassword.h" #pragma warning(disable:4996) #pragma warning(disable:4703) HANDLE GetProcessHandleByName(const CHAR* szName) { // // GetProcessHandle获得lsass.exe进程句柄 // DWORD ReturnLength, nBytes; WCHAR B
Winlogon、LSASS、Userinit
热门推荐
chenyujing1234的专栏
09-29 1万+
参考书籍:>   转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家拍砖! 一、 Winlogon登录过程(\Windows\System32\Winlogon.exe)处理交互式用户登陆和注销,当安全注意序列(SAS,Secure Attention Sequence)组和键被按下时,Winlogon就会接到一个用户登陆请求。
恶意代码分析常见Windows函数
weixin_30932215的博客
09-07 340
accept   用来监听入站网络连接,这个函数预示着程序会在一个套接字上监听入站网络连接。 AdjustTokenPrivileges   用来启用或禁用特定的访问权限。执行进程注入的恶意代码会经常调用这个函数 ,来取得额外的权限。 AttachThreadInput   将一个线程处理的输入附加到另一个线程上,使得第二个线程接收到输入事件。如键盘和鼠标事件。击键记录器和其他...
关于WTSRegisterSessionNotification函数的介绍及使用
chenyujing1234的专栏
02-16 9958
不知道大家注意到没有,Windows XP新增加了一个快速切换用户的功能。它可以让您在不注销的情况下在用户之间进行切换,而且每个用户有自己独立的配置文件和桌面。也就是说当您切换到另外 一个用户(即用另外一个账号登陆)时,以前的那个用户运行的所有程序都还是在运行的,并没有退出来。这就给我们的开发带来了新的问题。比如您的应用程序提 供的功能在多个用户同时运行时发生错误,您必须为应用程序添加代码以检
Windowns API 第24篇 WTSEnumerateSessions 枚举session信息
10-08 619
函数原型: BOOL WTSEnumerateSessions( HANDLE hServer, DWORD Reserved, DWORD Version, ...
session setup failed: NT_STATUS_LOGON_FAILURE
最新发布
06-08
这个错误通常表示您提供的用户名或密码不正确,或者您没有足够的权限访问共享目录。请确保您提供的用户名和密码是正确的,并且您具有访问该共享目录的权限。 如果您确定您的用户名和密码是正确的,并且您仍然无法访问共享目录,则可能需要检查以下内容: 1. 确认您的用户名和密码是否区分大小写。 2. 确认您的用户名和密码是否包含特殊字符或空格。 3. 确认您与远程计算机连接的网络是否可靠。 4. 如果您在 Windows 计算机上运行 Samba 服务器,请确保您的用户名和密码与您在 Linux 计算机上使用的相同,并且您已经启用了 SMB1 协议。 5. 确认您的用户名和密码是否被锁定或禁用。 如果您仍然无法访问共享目录,请尝试使用以下命令来连接到共享目录: ``` sudo mount -t cifs //servername/sharename /mnt/mountpoint -o user=username,password=password,domain=domainname,sec=ntlm ``` 将 `servername` 替换为远程服务器的名称或 IP 地址,将 `sharename` 替换为您要挂载的远程共享目录的名称,`/mnt/mountpoint` 替换为您要将共享目录挂载到的本地目录,`username` 替换为您在远程服务器上的用户名,`password` 替换为您的密码,`domainname` 替换为您的域名(如果需要)。 `sec=ntlm` 参数可强制使用 NTLMv1 身份验证,这可能会解决某些连接问题。但请注意,NTLMv1 身份验证不是安全的,因为它容易受到中间人攻击。建议您尽快升级到更安全的 SMB 版本,例如 SMB2 或 SMB3。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值