第一百一十课:窃取,伪造模拟各种windows访问令牌[token利用]1
需积分: 0 181 浏览量
2022-08-03
13:22:57
上传
评论
收藏 2.67MB PDF 举报
MITRE | ATT&CK 中文站
https://huntingday.github.io/
窃取
,
伪造模拟各种
windows
访问令牌
[token
利用
]
0x01 本节重点快速预览
访问令牌在 windows 中到底是干什么用的? 想成功窃取指定系统用户令牌的必要前提条件又是什么?
如何借助 CobaltStrike 来窃取伪造当前机器指定系统进程中的用户访问令牌
如何利用 meterpreter 自带的 incognito 模块来窃取伪造当前机器指定系统进程中的用户访问令牌
借助 incognito 以任意用户身份的访问令牌去执行任意 payload
利用 Invoke-TokenManipulation.ps1 无文件窃取指定用户身份令牌执行任意 payload
借助 Invoke-TokenManipulation.ps1 窃取 system 访问令牌以实现 mssql 本地免密码登录
通过 Tokenvator.exe 来窃取伪造模拟指定用户的访问令牌去执行任意 payload
最后一种方式就是通过 Mimikatz 来伪造指定用户的访问令牌,此处暂以同步目标域内的所有域用户密码 hash 为例
0x02 访问令牌在 windows 中到底是干什么用的以及想成功窃取指定系统用户令牌的必要前提条件又是什么
维基百科上的标准描述是这样的,访问令牌是 windows 用于确定指定进程或线程安全上下文的一种对象,讲的通俗一点就是这么个意思,当前系统中的某个进程或线程能访问到什么样的系统资源,完全取
决于你当前进程是拿着谁的令牌,比如,有些需要用管理员令牌的资源,你拿着普通用户的令牌肯定是访问不到了[暂且不要把它狭隘的理解平常我们所熟知的那个密码,密码只是所有认证方式里最简单粗暴
的一种,并不是唯一],众所周知,在 windows 中我们通常只会关注两种令牌,如下
一种就是授权令牌 [Delegation token],这种令牌通常用于本地及远程 RDP 登录
一种就是模拟令牌 [Impersonation token],这种则通常用于各种非交互式的登录,比如,net use ,wmi,winrm 等等...
注: 上面的这两种令牌,都会在系统重启以后被清除, 否则将会一直驻留在内存中,而授权令牌则会在用户注销以后自动被转为模拟令牌,但仍然可利用,至于更详细深度的理解,此处暂不多做说明,可自行去
参考微软官方文档,毕竟,本次的目的也并非要带大家写这样的工具
默认情况下,当前用户肯定是只能看到当前用户自己和比自己权限低的所有访问令牌,这无可厚非,现代操作系统在早期就是这样来设计用户空间 ACL 的,所以,如果你想看到系统中所有用户的访问令牌,
那就务必要将自己当前用户的权限提到一个特权用户的身份上,比如,windows 的 system 或者 administrator,这样你才能看到当前系统中所有用户的访问令牌,至此,我想我应该是把一些必要的利用前提
大致说清楚了
剩余20页未读,继续阅读
评论0