From d3118ff90fe838c45793a4a03a86f202b312f75d Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 17 Jun 2024 08:59:19 +0000 Subject: [PATCH] Translated ['windows-hardening/windows-local-privilege-escalation/privil --- .../privilege-escalation-abusing-tokens.md | 102 ++++++++---------- 1 file changed, 45 insertions(+), 57 deletions(-) diff --git a/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens.md b/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens.md index 0621a52a3..2952474f6 100644 --- a/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens.md +++ b/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens.md @@ -1,20 +1,20 @@ -# Abusing Tokens +# 토큰 남용
-htARTE (HackTricks AWS Red Team Expert)를 통해 **제로부터 영웅까지 AWS 해킹 배우기**! +htARTE (HackTricks AWS Red Team Expert)를 통해 제로부터 영웅이 되는 AWS 해킹을 배우세요! -* **사이버 보안 회사**에서 일하시나요? **회사를 HackTricks에서 광고**하고 싶으신가요? 혹은 **PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드**하고 싶으신가요? [**구독 요금제**](https://github.com/sponsors/carlospolop)를 확인해보세요! -* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견해보세요, 저희의 독점 [**NFT 컬렉션**](https://opensea.io/collection/the-peass-family) +* **사이버 보안 회사**에서 일하시나요? **HackTricks에 귀사를 광고하고 싶으신가요**? 혹은 **PEASS의 최신 버전을 다운로드하거나 HackTricks를 PDF로 받고 싶으신가요**? [**구독 요금제**](https://github.com/sponsors/carlospolop)를 확인하세요! +* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견하세요, 저희의 독점적인 [**NFTs**](https://opensea.io/collection/the-peass-family) 컬렉션 * [**공식 PEASS & HackTricks 스왜그**](https://peass.creator-spring.com)를 얻으세요 -* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 그룹**](https://discord.gg/hRep4RUj7f)에 가입하거나 [**텔레그램 그룹**](https://t.me/peass)에 참여하거나 **트위터** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**를 팔로우**하세요. -* \*\*해킹 요령을 공유하려면 [hacktricks repo](https://github.com/carlospolop/hacktricks) 및 [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)\*\*로 PR을 제출하세요. +* **💬** [**Discord 그룹**](https://discord.gg/hRep4RUj7f)에 **가입**하거나 [**텔레그램 그룹**](https://t.me/peass)에 참여하시거나 **트위터** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**를 팔로우**하세요. +* **해킹 요령을 공유하세요** PR을 제출하여 [**hacktricks repo**](https://github.com/carlospolop/hacktricks)와 [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud)에
## 토큰 -**Windows 액세스 토큰이 무엇인지 모르는 경우** 계속하기 전에 이 페이지를 읽어보세요: +**Windows 액세스 토큰이 무엇인지 모르시는 경우** 계속하기 전에 이 페이지를 읽어보세요: {% content-ref url="access-tokens.md" %} [access-tokens.md](access-tokens.md) @@ -24,7 +24,7 @@ ### SeImpersonatePrivilege -이 특권은 어떤 프로세스가 토큰을 생성하지는 못하지만 어떤 토큰이든 위임할 수 있게 해줍니다. 특권이 있는 토큰은 Windows 서비스(DCOM)로부터 얻을 수 있으며, 해당 서비스를 NTLM 인증을 수행하도록 유도하여 exploit을 통해 SYSTEM 권한으로 프로세스를 실행할 수 있게 됩니다. 이 취약점은 [juicy-potato](https://github.com/ohpe/juicy-potato), [RogueWinRM](https://github.com/antonioCoco/RogueWinRM) (winrm 비활성화 필요), [SweetPotato](https://github.com/CCob/SweetPotato), [PrintSpoofer](https://github.com/itm4n/PrintSpoofer)와 같은 다양한 도구를 사용하여 악용할 수 있습니다. +이 특권은 어떤 프로세스에서도 임의 토큰을 임의로 생성하지 않고 얻을 수 있다면 임의 토큰을 임의로 생성할 수 있게 해줍니다. 특권 토큰은 Windows 서비스(DCOM)에서 특권 토큰을 얻을 수 있도록 유도하여 exploit에 대한 NTLM 인증을 수행하게 함으로써 SYSTEM 권한으로 프로세스를 실행할 수 있게 합니다. 이 취약점은 [juicy-potato](https://github.com/ohpe/juicy-potato), [RogueWinRM](https://github.com/antonioCoco/RogueWinRM) (winrm 비활성화 필요), [SweetPotato](https://github.com/CCob/SweetPotato), [PrintSpoofer](https://github.com/itm4n/PrintSpoofer)와 같은 다양한 도구를 사용하여 악용할 수 있습니다. {% content-ref url="roguepotato-and-printspoofer.md" %} [roguepotato-and-printspoofer.md](roguepotato-and-printspoofer.md) @@ -37,22 +37,22 @@ ### SeAssignPrimaryPrivilege **SeImpersonatePrivilege**와 매우 유사하며 특권을 얻기 위해 **동일한 방법**을 사용합니다.\ -이 특권은 **새로운/일시 중단된 프로세스에 기본 토큰을 할당**할 수 있습니다. 특권 있는 위임 토큰을 사용하여 기본 토큰(DuplicateTokenEx)을 파생시킬 수 있습니다.\ -토큰을 사용하여 'CreateProcessAsUser'로 **새로운 프로세스**를 생성하거나 프로세스를 일시 중단시키고 토큰을 설정할 수 있습니다(일반적으로 실행 중인 프로세스의 기본 토큰을 수정할 수 없습니다). +그런 다음, 이 특권은 새로운/일시 중단된 프로세스에 **기본 토큰을 할당**할 수 있습니다. 특권 표현 토큰을 사용하여 기본 토큰을 파생시킬 수 있습니다 (DuplicateTokenEx).\ +토큰을 사용하여 'CreateProcessAsUser'로 **새 프로세스**를 생성하거나 프로세스를 일시 중단하고 **토큰을 설정**할 수 있습니다(일반적으로 실행 중인 프로세스의 기본 토큰을 수정할 수 없습니다). ### SeTcbPrivilege -이 토큰을 활성화하면 **KERB\_S4U\_LOGON**을 사용하여 자격 증명을 알지 못해도 다른 사용자를 위한 **위임 토큰**을 얻을 수 있습니다. 임의의 그룹(관리자)을 토큰에 **추가**하고, 토큰의 **무결성 수준**을 "**중간**"으로 설정하고, 이 토큰을 **현재 스레드**에 할당할 수 있습니다(SetThreadToken). +이 토큰을 활성화하면 **KERB\_S4U\_LOGON**을 사용하여 자격 증명을 알지 못해도 다른 사용자의 **임의의 그룹**(관리자)을 토큰에 추가하고, 토큰의 **무결성 수준**을 "**중간**"으로 설정하고, 이 토큰을 **현재 스레드**(SetThreadToken)에 할당할 수 있습니다. ### SeBackupPrivilege -이 특권으로 시스템은 이 특권을 통해 모든 파일에 대한 **모든 읽기 액세스** 권한을 부여합니다(읽기 작업에 제한됨). 이 특권은 레지스트리에서 로컬 관리자 계정의 암호 해시를 읽기 위해 사용되며, 이후 "**psexec**" 또는 "**wmicexec**"과 같은 도구를 해당 해시와 함께 사용할 수 있습니다(해시 전달 기법). 그러나 이 기술은 두 가지 조건에서 실패합니다: 로컬 관리자 계정이 비활성화된 경우 또는 원격으로 연결하는 로컬 관리자에서 관리 권한을 제거하는 정책이 적용된 경우.\ +이 특권으로 시스템은 이 특권으로 **모든 읽기 액세스** 제어를 어떤 파일에게든 부여합니다(읽기 작업에 제한됨). 이는 레지스트리에서 로컬 관리자 계정의 암호 해시를 읽기 위해 사용되며, 이후 "**psexec**" 또는 "**wmicexec**"과 같은 도구를 해당 해시와 함께 사용할 수 있습니다(해시 전달 기법). 그러나 이 기술은 두 가지 조건에서 실패합니다: 로컬 관리자 계정이 비활성화된 경우 또는 원격으로 연결하는 로컬 관리자의 관리 권한이 제거되는 정책이 적용된 경우.\ 다음과 같은 방법으로 **이 특권을 남용**할 수 있습니다: * [https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1](https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1) * [https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug](https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug) -* [https://www.youtube.com/watch?v=IfCysW0Od8w\&t=2610\&ab\_channel=IppSec](https://www.youtube.com/watch?v=IfCysW0Od8w\&t=2610\&ab\_channel=IppSec)에서 **IppSec**을 따르기 -* 또는 다음에서 **백업 연산자를 통한 권한 상승** 섹션에 설명된 대로: +* [https://www.youtube.com/watch?v=IfCysW0Od8w\&t=2610\&ab\_channel=IppSec](https://www.youtube.com/watch?v=IfCysW0Od8w\&t=2610\&ab\_channel=IppSec)에서 **IppSec**을 따르거나 +* 또는 다음에서 **백업 연산자로 권한 상승**을 설명한 것처럼: {% content-ref url="../active-directory-methodology/privileged-groups-and-token-privileges.md" %} [privileged-groups-and-token-privileges.md](../active-directory-methodology/privileged-groups-and-token-privileges.md) @@ -60,34 +60,33 @@ ### SeRestorePrivilege -이 특권은 파일의 **모든 시스템 파일에 대한 쓰기 액세스** 권한을 부여하며, 파일의 액세스 제어 목록(ACL)에 관계없이 제공됩니다. 이는 **서비스 수정**, DLL Hijacking 수행, 이미지 파일 실행 옵션을 통한 **디버거 설정** 등 다양한 기술을 통해 권한 상승에 대한 다양한 가능성을 엽니다. +이 특권은 파일의 액세스 제어 목록(ACL)과 관계없이 **시스템 파일에 대한 쓰기 액세스** 권한을 제공합니다. 이는 **서비스 수정**, DLL Hijacking 수행 및 Image File Execution Options를 통한 **디버거 설정** 등 다양한 기술을 통해 상승할 수 있는 여러 가능성을 엽니다. ### SeCreateTokenPrivilege -SeCreateTokenPrivilege은 사용자가 토큰을 위임할 수 있는 능력을 가지고 있을 때 특히 유용한 강력한 권한입니다. SeImpersonatePrivilege가 없는 경우에도 사용자가 현재 프로세스의 무결성 수준을 초과하지 않는 동일한 사용자를 나타내는 토큰을 위임할 수 있는 능력에 의존합니다. +SeCreateTokenPrivilege은 사용자가 토큰을 임의로 생성할 수 있는 능력을 가지고 있을 때 특히 유용한 강력한 권한입니다. 이 능력은 현재 프로세스의 무결성 수준을 초과하지 않는 동일한 사용자를 대표하는 토큰을 임의로 대표할 수 있는 능력에 달려 있습니다. **주요 포인트:** -* **SeImpersonatePrivilege 없이 위임:** 특정 조건 하에서 토큰을 위임하기 위해 SeCreateTokenPrivilege를 활용할 수 있습니다. -* **토큰 위임 조건:** 성공적인 위임을 위해서는 대상 토큰이 동일한 사용자에게 속하고, 위임을 시도하는 프로세스의 무결성 수준이 대상 토큰의 무결성 수준보다 작거나 같아야 합니다. -* **위임 토큰 생성 및 수정:** 사용자는 위임 토큰을 생성하고 특권 그룹의 SID(보안 식별자)를 추가하여 향상시킬 수 있습니다. +* **SeImpersonatePrivilege 없이 대리 표현:** 특정 조건 하에서 SeCreateTokenPrivilege를 이용하여 특정 조건 하에서 토큰을 대리할 수 있습니다. +* **토큰 대리 조건:** 대리 표현에 성공하려면 대상 토큰이 동일한 사용자에게 속하고 대리를 시도하는 프로세스의 무결성 수준이 대상 토큰의 무결성 수준보다 작거나 같아야 합니다. +* **대리 표현 토큰의 생성 및 수정:** 사용자는 대리 표현 토큰을 생성하고 특권 그룹의 SID(보안 식별자)를 추가하여 향상시킬 수 있습니다. ### SeLoadDriverPrivilege -이 특권은 `ImagePath` 및 `Type`에 특정 값이 있는 레지스트리 항목을 생성하여 **장치 드라이버를 로드하고 언로드**할 수 있게 합니다. `HKLM` (HKEY\_LOCAL\_MACHINE)에 대한 직접 쓰기 액세스가 제한되어 있기 때문에 `HKCU` (HKEY\_CURRENT\_USER)를 대신 사용해야 합니다. 그러나 드라이버 구성을 위해 커널에서 `HKCU`를 인식하려면 특정 경로를 따라야 합니다. +이 특권은 `ImagePath` 및 `Type`에 대한 특정 값이 있는 레지스트리 항목을 생성하여 **장치 드라이버를 로드하고 언로드**할 수 있게 합니다. `HKLM`(HKEY\_LOCAL\_MACHINE)에 대한 직접 쓰기 액세스가 제한되어 있으므로 대신 `HKCU`(HKEY\_CURRENT\_USER)를 사용해야 합니다. 그러나 드라이버 구성을 위해 커널에서 `HKCU`를 인식하도록 하려면 특정 경로를 따라야 합니다. -이 경로는 `\Registry\User\\System\CurrentControlSet\Services\DriverName`이며, 여기서 ``는 현재 사용자의 상대 식별자를 나타냅니다. `HKCU` 내에서 이 전체 경로를 생성하고 두 가지 값을 설정해야 합니다: +이 경로는 `\Registry\User\\System\CurrentControlSet\Services\DriverName`이며, 여기서 ``는 현재 사용자의 상대 식별자입니다. `HKCU` 내에서 이 전체 경로를 생성하고 두 가지 값이 설정되어야 합니다: * 실행할 이진 파일의 경로인 `ImagePath` * `SERVICE_KERNEL_DRIVER`(`0x00000001`) 값인 `Type`. **수행할 단계:** -1. `HKLM` 대신 제한된 쓰기 액세스로 `HKCU`에 액세스합니다. -2. `HKCU` 내에서 현재 사용자의 상대 식별자를 나타내는 ``를 사용하여 `\Registry\User\\System\CurrentControlSet\Services\DriverName` 경로를 생성합니다. +1. 쓰기 액세스가 제한되어 `HKLM` 대신 `HKCU`에 액세스합니다. +2. `HKCU` 내에서 현재 사용자의 상대 식별자를 나타내는 ``로 경로 `\Registry\User\\System\CurrentControlSet\Services\DriverName`를 생성합니다. 3. `ImagePath`를 실행 경로로 설정합니다. 4. `Type`을 `SERVICE_KERNEL_DRIVER`(`0x00000001`)로 할당합니다. - ```python # Example Python code to set the registry values import winreg as reg @@ -99,13 +98,11 @@ reg.SetValueEx(key, "ImagePath", 0, reg.REG_SZ, "path_to_binary") reg.SetValueEx(key, "Type", 0, reg.REG_DWORD, 0x00000001) reg.CloseKey(key) ``` - 더 많은 방법은 [https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges#seloaddriverprivilege](https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges#seloaddriverprivilege)에서 이 권한을 남용하는 방법을 찾을 수 있습니다. ### SeTakeOwnershipPrivilege -이것은 **SeRestorePrivilege**와 유사합니다. 주요 기능은 **객체의 소유권을 가정**하도록 프로세스를 허용하여 명시적인 DISCRETIONARY ACCESS 권한이 필요하지 않도록 우회합니다. 프로세스는 먼저 쓰기 목적으로 의도한 레지스트리 키의 소유권을 보호한 다음 DACL을 변경하여 쓰기 작업을 가능하게 합니다. - +이것은 **SeRestorePrivilege**와 유사합니다. 주요 기능은 프로세스가 명시적인 재량적 액세스 권한이 필요하지 않도록 WRITE\_OWNER 액세스 권한을 제공하여 **객체의 소유권을 가정**할 수 있게 합니다. 이 프로세스는 먼저 쓰기 목적으로 의도한 레지스트리 키의 소유권을 보호한 다음 DACL을 변경하여 쓰기 작업을 가능하게 합니다. ```bash takeown /f 'C:\some\file.txt' #Now the file is owned by you icacls 'C:\some\file.txt' /grant :F #Now you have full access @@ -121,84 +118,75 @@ icacls 'C:\some\file.txt' /grant :F #Now you have full access %WINDIR%\system32\config\default.sav c:\inetpub\wwwwroot\web.config ``` - ### SeDebugPrivilege -이 권한은 **다른 프로세스를 디버그**할 수 있게 허용하며, 메모리에서 읽고 쓸 수 있습니다. 이 권한을 사용하면 대부분의 백신 및 호스트 침입 방지 솔루션을 우회할 수 있는 다양한 메모리 인젝션 전략을 사용할 수 있습니다. +이 권한은 **다른 프로세스를 디버그**할 수 있게 하며, 메모리에서 읽고 쓸 수 있습니다. 이 권한을 사용하면 대부분의 백신 및 호스트 침입 방지 솔루션을 우회할 수 있는 다양한 메모리 인젝션 전략을 사용할 수 있습니다. #### 메모리 덤프 -[SysInternals Suite](https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite)에서 [ProcDump](https://docs.microsoft.com/en-us/sysinternals/downloads/procdump)를 사용하여 **프로세스의 메모리를 캡처**할 수 있습니다. 구체적으로, 이는 사용자가 시스템에 성공적으로 로그인한 후 사용자 자격 증명을 저장하는 **로컬 보안 권한 부분 시스템 서비스 (**[**LSASS**](https://en.wikipedia.org/wiki/Local\_Security\_Authority\_Subsystem\_Service)**)** 프로세스에 적용될 수 있습니다. +[ProcDump](https://docs.microsoft.com/en-us/sysinternals/downloads/procdump)를 사용하여 프로세스의 메모리를 **캡처**할 수 있습니다. 특히, 이는 사용자가 시스템에 성공적으로 로그인한 후 사용자 자격 증명을 저장하는 **로컬 보안 권한 부분 시스템 서비스(LSASS)** 프로세스에 적용될 수 있습니다. 그런 다음 이 덤프를 mimikatz에로드하여 암호를 얻을 수 있습니다: - ``` mimikatz.exe mimikatz # log mimikatz # sekurlsa::minidump lsass.dmp mimikatz # sekurlsa::logonpasswords ``` - #### RCE -`NT SYSTEM` 쉘을 획득하려면 다음을 사용할 수 있습니다: +`NT SYSTEM` 쉘을 얻고 싶다면 다음을 사용할 수 있습니다: * [**SeDebugPrivilege-Exploit (C++)**](https://github.com/bruno-1337/SeDebugPrivilege-Exploit) * [**SeDebugPrivilegePoC (C#)**](https://github.com/daem0nc0re/PrivFu/tree/main/PrivilegedOperations/SeDebugPrivilegePoC) * [**psgetsys.ps1 (Powershell Script)**](https://raw.githubusercontent.com/decoder-it/psgetsystem/master/psgetsys.ps1) - ```powershell # Get the PID of a process running as NT SYSTEM import-module psgetsys.ps1; [MyProcess]::CreateProcessFromParent(,) ``` - ## 권한 확인 - ``` whoami /priv ``` - -**비활성화된 상태로 나타나는 토큰**은 활성화할 수 있으며, 실제로 _활성화_ 및 _비활성화_ 토큰을 남용할 수 있습니다. +**비활성화된 상태로 나타나는 토큰**은 활성화할 수 있으며, 실제로 _활성화_ 및 _비활성화_된 토큰을 남용할 수 있습니다. ### 모든 토큰 활성화 토큰이 비활성화된 경우 [**EnableAllTokenPrivs.ps1**](https://raw.githubusercontent.com/fashionproof/EnableAllTokenPrivs/master/EnableAllTokenPrivs.ps1) 스크립트를 사용하여 모든 토큰을 활성화할 수 있습니다: - ```powershell .\EnableAllTokenPrivs.ps1 whoami /priv ``` - -또는 [이 게시물](https://www.leeholmes.com/adjusting-token-privileges-in-powershell/)에 포함된 **스크립트**. +또는 이 [포스트](https://www.leeholmes.com/adjusting-token-privileges-in-powershell/)에 포함된 **스크립트**. ## 표 -전체 토큰 권한 치트시트는 [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin)에서 확인할 수 있으며, 아래 요약은 관리자 세션을 얻거나 민감한 파일을 읽기 위해 특권을 악용하는 직접적인 방법만 나열합니다. +전체 토큰 권한 치트시트는 [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin)에서 확인할 수 있으며, 아래 요약은 관리자 세션을 얻거나 민감한 파일을 읽기 위한 특권을 악용하는 직접적인 방법만 나열합니다. -| 특권 | 영향 | 도구 | 실행 경로 | 비고 | -| -------------------------- | --------- | -------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -| **`SeAssignPrimaryToken`** | _**관리자**_ | 제3자 도구 | _"사용자가 토큰을 가장하여 potato.exe, rottenpotato.exe 및 juicypotato.exe와 같은 도구를 사용하여 nt 시스템으로 권한 상승할 수 있게 합니다"_ | 업데이트해 주신 [Aurélien Chalot](https://twitter.com/Defte\_)에게 감사드립니다. 곧 좀 더 레시피 같은 내용으로 다시 표현해 보겠습니다. | -| **`SeBackup`** | **위협** | _**내장 명령어**_ | `robocopy /b`로 민감한 파일 읽기 |

- %WINDIR%\MEMORY.DMP를 읽을 수 있다면 더 흥미로울 수 있음

- SeBackupPrivilege (및 robocopy)는 파일을 열 때 도움이 되지 않음.

- Robocopy는 /b 매개변수와 함께 작동하려면 SeBackup 및 SeRestore가 모두 필요함.

| -| **`SeCreateToken`** | _**관리자**_ | 제3자 도구 | `NtCreateToken`을 사용하여 로컬 관리자 권한을 포함한 임의의 토큰 생성 | | -| **`SeDebug`** | _**관리자**_ | **PowerShell** | `lsass.exe` 토큰 복제 | [FuzzySecurity](https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Conjure-LSASS.ps1)에서 스크립트 찾기 | -| **`SeLoadDriver`** | _**관리자**_ | 제3자 도구 |

1. szkg64.sys와 같은 버그가 있는 커널 드라이버 로드
2. 드라이버 취약점 악용

대안으로 ftlMC 내장 명령어를 사용하여 보안 관련 드라이버를 언로드할 수 있음. 즉, fltMC sysmondrv

|

1. szkg64 취약점은 CVE-2018-15732로 나열됨
2. szkg64 악용 코드Parvez Anwar에 의해 작성됨

| -| **`SeRestore`** | _**관리자**_ | **PowerShell** |

1. SeRestore 특권이 있는 PowerShell/ISE 실행
2. Enable-SeRestorePrivilege로 특권 활성화
3. utilman.exe를 utilman.old로 이름 바꾸기
4. cmd.exe를 utilman.exe로 이름 바꾸기
5. 콘솔 잠금 후 Win+U 누르기

|

일부 AV 소프트웨어에서 공격을 감지할 수 있음.

대체 방법은 동일한 특권을 사용하여 "Program Files"에 저장된 서비스 이진 파일을 교체하는 것에 의존함

| -| **`SeTakeOwnership`** | _**관리자**_ | _**내장 명령어**_ |

1. takeown.exe /f "%windir%\system32"
2. icalcs.exe "%windir%\system32" /grant "%username%":F
3. cmd.exe를 utilman.exe로 이름 바꾸기
4. 콘솔 잠금 후 Win+U 누르기

|

일부 AV 소프트웨어에서 공격을 감지할 수 있음.

대체 방법은 동일한 특권을 사용하여 "Program Files"에 저장된 서비스 이진 파일을 교체하는 것에 의존함.

| -| **`SeTcb`** | _**관리자**_ | 제3자 도구 |

로컬 관리자 권한을 포함하도록 토큰 조작. SeImpersonate가 필요할 수 있음.

검증 필요.

| | +| 특권 | 영향 | 도구 | 실행 경로 | 비고 | +| -------------------------- | ----------- | ----------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | +| **`SeAssignPrimaryToken`** | _**관리자**_ | 제3자 도구 | _"사용자가 토큰을 가장하여 potato.exe, rottenpotato.exe 및 juicypotato.exe와 같은 도구를 사용하여 nt 시스템으로 권한 상승할 수 있게 합니다"_ | 업데이트해 주신 [Aurélien Chalot](https://twitter.com/Defte\_)에게 감사드립니다. 곧 좀 더 레시피 같은 내용으로 다시 표현해 보겠습니다. | +| **`SeBackup`** | **위협** | _**내장 명령어**_ | `robocopy /b`로 민감한 파일 읽기 |

- %WINDIR%\MEMORY.DMP를 읽을 수 있다면 더 흥미로울 수 있음

- SeBackupPrivilege (및 robocopy)는 파일을 열 때 도움이 되지 않음.

- Robocopy는 /b 매개변수와 함께 작동하려면 SeBackup 및 SeRestore가 모두 필요함.

| +| **`SeCreateToken`** | _**관리자**_ | 제3자 도구 | `NtCreateToken`을 사용하여 로컬 관리자 권한을 포함한 임의의 토큰 생성 | | +| **`SeDebug`** | _**관리자**_ | **PowerShell** | `lsass.exe` 토큰 복제 | [FuzzySecurity](https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Conjure-LSASS.ps1)에서 스크립트 찾기 | +| **`SeLoadDriver`** | _**관리자**_ | 제3자 도구 |

1. szkg64.sys와 같은 버그가 있는 커널 드라이버 로드
2. 드라이버 취약점 악용

대안으로 ftlMC 내장 명령어를 사용하여 보안 관련 드라이버를 언로드할 수 있음. 즉, fltMC sysmondrv

|

1. szkg64 취약점은 CVE-2018-15732로 나열됨
2. szkg64 악용 코드Parvez Anwar에 의해 작성됨

| +| **`SeRestore`** | _**관리자**_ | **PowerShell** |

1. SeRestore 특권이 있는 PowerShell/ISE를 실행합니다.
2. Enable-SeRestorePrivilege를 사용하여 특권을 활성화합니다.
3. utilman.exe를 utilman.old로 이름 바꿉니다
4. cmd.exe를 utilman.exe로 이름 바꿉니다
5. 콘솔을 잠그고 Win+U를 누릅니다

|

일부 AV 소프트웨어에서 공격을 감지할 수 있음.

대체 방법은 동일한 특권을 사용하여 "Program Files"에 저장된 서비스 이진 파일을 교체하는 것에 의존함

| +| **`SeTakeOwnership`** | _**관리자**_ | _**내장 명령어**_ |

1. takeown.exe /f "%windir%\system32"
2. icalcs.exe "%windir%\system32" /grant "%username%":F
3. cmd.exe를 utilman.exe로 이름 바꿉니다
4. 콘솔을 잠그고 Win+U를 누릅니다

|

일부 AV 소프트웨어에서 공격을 감지할 수 있음.

대체 방법은 동일한 특권을 사용하여 "Program Files"에 저장된 서비스 이진 파일을 교체하는 것에 의존함.

| +| **`SeTcb`** | _**관리자**_ | 제3자 도구 |

로컬 관리자 권한을 포함하도록 토큰 조작. SeImpersonate가 필요할 수 있음.

확인이 필요함.

| | ## 참고 * Windows 토큰을 정의하는 이 표를 확인하세요: [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin) -* 토큰을 통한 권한 상승에 관한 [**이 논문**](https://github.com/hatRiot/token-priv/blob/master/abusing\_token\_eop\_1.0.txt)을 확인하세요. +* 토큰을 이용한 권한 상승에 관한 [**이 논문**](https://github.com/hatRiot/token-priv/blob/master/abusing\_token\_eop\_1.0.txt)을 확인하세요.
제로부터 영웅이 될 때까지 AWS 해킹 배우기 htARTE (HackTricks AWS Red Team Expert)! -* **사이버 보안 회사**에서 일하시나요? **HackTricks에 귀사를 광고**하고 싶으신가요? 아니면 **PEASS의 최신 버전에 액세스**하거나 **HackTricks를 PDF로 다운로드**하고 싶으신가요? [**구독 요금제**](https://github.com/sponsors/carlospolop)를 확인하세요! -* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견하세요, 저희의 독점적인 [**NFTs**](https://opensea.io/collection/the-peass-family) 컬렉션 +* **사이버 보안 회사**에서 일하시나요? **회사를 HackTricks에서 광고**하고 싶으신가요? 또는 **PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드**하고 싶으신가요? [**구독 요금제**](https://github.com/sponsors/carlospolop)를 확인하세요! +* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견하세요, 저희의 독점 [**NFTs**](https://opensea.io/collection/the-peass-family) 컬렉션 * [**공식 PEASS & HackTricks 스왜그**](https://peass.creator-spring.com)를 얻으세요 -* **💬** [**Discord 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 **가입**하거나 **트위터** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**를 팔로우**하세요. -* \*\*[hacktricks repo](https://github.com/carlospolop/hacktricks) 및 [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)\*\*로 PR을 제출하여 해킹 트릭을 공유하세요. +* **💬** [**Discord 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 **가입**하거나 **트위터** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**를 팔로우하세요**. +* **해킹 트릭을 공유하려면** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **및** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **로 PR을 제출하세요**.