0x01 前言

在实际都渗透场景中,往往需要获取指定用户权限的shell。比如当一开始获取了system权限后,若想要切换administrator用户,并实现桌面截图监控,此时就可能需要Token令牌窃取这样的方式,来实现用户权限的切换。

0x02 关于Token

Windows下有两种类型的Token令牌:Delegation Token 和 Impersonation Token

  • Delegation Token:也就是授权令牌,它支持交互式登录(如远程桌面登录访问)
  • Impersonation Token: 模拟令牌,它是非交互式的会话(利用net use访问共享文件夹)

两种Token 只在系统重启后清除
具有授权令牌的用户在注销之后,其Token会变成模拟令牌,依然有效

0x03 利用MSF实现令牌窃取

本地环境测试: 目前已通过MS-17010 获取目标win2k3主机 system权限

49675787.png

此时目标win2k3 处于刚重启完毕,未登录用户状态
先利用incognito查看下Token情况

use incognito
list_tokens -u

可以看到此时还没有 administrator用户的令牌

50725094.png

待对方用户登录后,再次查看

50837006.png

下面实现Token窃取,并查看效果

impersonate_token "主机名\\Administrator"    

51108252.png

成功窃取Token,接下来就可以该用户权限,执行后续的操作了。

用户注销后,同理。依然可以获取该用户的Token
51421220.png

0x04 补充

若想返回之前的Token,可以使用:

rev2self

也可以通过指定 PID ,获取对应的Token:

steal_token pid号

51732724.png

除了MSF,windows下还有其它工具可以达到同样的效果,如incognito.exe
步骤类似,故不多记录了。

标签: none

仅有一条评论

  1. fg fg

    更新这么勤奋,厉害啊,认识下哈,能不能给个联系方式

添加新评论