将 Powershell SecureString 传递给 C++ 程序?
Pass Powershell SecureString to C++ program?
我有一个本机程序,它接受在命令行中传递的密码。该密码显示在服务器日志中,因此我想在进入命令行之前通过加密来混淆它。然后我会在程序中解密它并像以前一样使用它。我的想法是,我使用 powershell 创建一个带密码的 SecureString,然后使用 ConvertFrom-SecureString 使其成为可打印的文本字符串。然后将该字符串通过命令行传递给本机 c++ 程序。从那里,我将其解码回二进制加密形式,然后将其解密回原始纯文本密码。简单吧?
从很少的文档来看,我认为 ConvertFrom-SecureString 进行了 Base64 编码以使二进制 SecureString 成为不可打印的文本。谁能证实这一点?
我使用 ATL::Base64Decode() 恢复二进制字节。在比较原始和解码的前 20 个字节时,似乎 起作用。
之后我尝试解密 SecureString 字节。同样,一些文档似乎暗示 SecureString 加密是使用机器密钥(或用户会话密钥)完成的。基于此,我尝试使用 DPAPI CryptUnprotectData 方法进行解密。在这里,尽管我遇到了“(0x8007000d)数据无效”的破坏失败。这听起来行得通吗?如果是的话,知道我哪里偏离路线了吗?
这是解密方法...
// Decrypts an encoded and encrypted string with DPAPI and Machine Key, returns the decrypted string
static HRESULT Decrypt(CStringW wsEncryptedBase64, OUT CStringW& wsPlainText)
{
HRESULT hr = S_OK;
DATA_BLOB dbIn = { 0 };
DATA_BLOB dbOut = { 0 };
const wchar_t *pos = wsEncryptedBase64.GetBuffer(wsEncryptedBase64.GetLength());
dbIn.cbData = wsEncryptedBase64.GetLength() / 2;
dbIn.pbData = (byte*)malloc(dbIn.cbData * sizeof(byte));
int num = 0;
for (size_t i = 0; i < dbIn.cbData; i += 1)
{
swscanf_s(pos, L"%2hhx", &num);
dbIn.pbData[i] = num;
pos += sizeof(wchar_t);
}
if (::CryptUnprotectData(&dbIn, NULL, NULL, NULL, NULL,
CRYPTPROTECT_UI_FORBIDDEN, &dbOut))
{
wsPlainText = CStringW(reinterpret_cast< wchar_t const* >(dbOut.pbData), dbOut.cbData / 2);
}
else
{
hr = HRESULT_FROM_WIN32(::GetLastError());
if (hr == S_OK)
{
hr = SEC_E_DECRYPT_FAILURE;
}
}
return hr;
}
据我所知,查看 dotPeek 中的二进制文件,ConvertFrom-String 正在使用 SecureStringToCoTaskMemUnicode 将安全字符串有效负载转换为字节数组。该字节数组以十六进制形式返回,例如byte.ToString("x2).
这假设您正在使用 DPAPI,而不是在 ConvertFrom-SecureString 上使用 Key 或 SecureKey 参数。
所以在你的C++程序中不要使用Base64Decode,只是将每两个字符解析为一个十六进制字节。然后在生成的字节数组(填充到 DATA_BLOB)上调用 CryptUnprotectData。
我有一个本机程序,它接受在命令行中传递的密码。该密码显示在服务器日志中,因此我想在进入命令行之前通过加密来混淆它。然后我会在程序中解密它并像以前一样使用它。我的想法是,我使用 powershell 创建一个带密码的 SecureString,然后使用 ConvertFrom-SecureString 使其成为可打印的文本字符串。然后将该字符串通过命令行传递给本机 c++ 程序。从那里,我将其解码回二进制加密形式,然后将其解密回原始纯文本密码。简单吧?
从很少的文档来看,我认为 ConvertFrom-SecureString 进行了 Base64 编码以使二进制 SecureString 成为不可打印的文本。谁能证实这一点? 我使用 ATL::Base64Decode() 恢复二进制字节。在比较原始和解码的前 20 个字节时,似乎 起作用。
之后我尝试解密 SecureString 字节。同样,一些文档似乎暗示 SecureString 加密是使用机器密钥(或用户会话密钥)完成的。基于此,我尝试使用 DPAPI CryptUnprotectData 方法进行解密。在这里,尽管我遇到了“(0x8007000d)数据无效”的破坏失败。这听起来行得通吗?如果是的话,知道我哪里偏离路线了吗?
这是解密方法...
// Decrypts an encoded and encrypted string with DPAPI and Machine Key, returns the decrypted string
static HRESULT Decrypt(CStringW wsEncryptedBase64, OUT CStringW& wsPlainText)
{
HRESULT hr = S_OK;
DATA_BLOB dbIn = { 0 };
DATA_BLOB dbOut = { 0 };
const wchar_t *pos = wsEncryptedBase64.GetBuffer(wsEncryptedBase64.GetLength());
dbIn.cbData = wsEncryptedBase64.GetLength() / 2;
dbIn.pbData = (byte*)malloc(dbIn.cbData * sizeof(byte));
int num = 0;
for (size_t i = 0; i < dbIn.cbData; i += 1)
{
swscanf_s(pos, L"%2hhx", &num);
dbIn.pbData[i] = num;
pos += sizeof(wchar_t);
}
if (::CryptUnprotectData(&dbIn, NULL, NULL, NULL, NULL,
CRYPTPROTECT_UI_FORBIDDEN, &dbOut))
{
wsPlainText = CStringW(reinterpret_cast< wchar_t const* >(dbOut.pbData), dbOut.cbData / 2);
}
else
{
hr = HRESULT_FROM_WIN32(::GetLastError());
if (hr == S_OK)
{
hr = SEC_E_DECRYPT_FAILURE;
}
}
return hr;
}
据我所知,查看 dotPeek 中的二进制文件,ConvertFrom-String 正在使用 SecureStringToCoTaskMemUnicode 将安全字符串有效负载转换为字节数组。该字节数组以十六进制形式返回,例如byte.ToString("x2).
这假设您正在使用 DPAPI,而不是在 ConvertFrom-SecureString 上使用 Key 或 SecureKey 参数。
所以在你的C++程序中不要使用Base64Decode,只是将每两个字符解析为一个十六进制字节。然后在生成的字节数组(填充到 DATA_BLOB)上调用 CryptUnprotectData。