)
```
## Verificar privilégios
```
whoami /priv
```
Os **tokens que aparecem como Desativados** podem ser ativados, você realmente pode abusar de tokens _Ativados_ e _Desativados_.
### Ativar Todos os tokens
Se você tiver tokens desativados, pode usar o script [**EnableAllTokenPrivs.ps1**](https://raw.githubusercontent.com/fashionproof/EnableAllTokenPrivs/master/EnableAllTokenPrivs.ps1) para ativar todos os tokens:
```powershell
.\EnableAllTokenPrivs.ps1
whoami /priv
```
Ou o **script** incorporado neste [**post**](https://www.leeholmes.com/adjusting-token-privileges-in-powershell/).
## Tabela
Tabela completa de privilégios de token em [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin), o resumo abaixo listará apenas maneiras diretas de explorar o privilégio para obter uma sessão de admin ou ler arquivos sensíveis.
| Privilégio | Impacto | Ferramenta | Caminho de execução | Observações |
| -------------------------- | ----------- | ----------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **`SeAssignPrimaryToken`** | _**Admin**_ | Ferramenta de terceiros | _"Isso permitiria que um usuário impersonasse tokens e privesc para o sistema nt usando ferramentas como potato.exe, rottenpotato.exe e juicypotato.exe"_ | Obrigado [Aurélien Chalot](https://twitter.com/Defte\_) pela atualização. Vou tentar reformular isso para algo mais parecido com uma receita em breve. |
| **`SeBackup`** | **Ameaça** | _**Comandos embutidos**_ | Ler arquivos sensíveis com `robocopy /b` | - Pode ser mais interessante se você puder ler %WINDIR%\MEMORY.DMP
- SeBackupPrivilege
(e robocopy) não são úteis quando se trata de arquivos abertos.
- Robocopy requer tanto SeBackup quanto SeRestore para funcionar com o parâmetro /b.
|
| **`SeCreateToken`** | _**Admin**_ | Ferramenta de terceiros | Criar token arbitrário incluindo direitos de admin local com `NtCreateToken`. | |
| **`SeDebug`** | _**Admin**_ | **PowerShell** | Duplicar o token `lsass.exe`. | Script a ser encontrado em [FuzzySecurity](https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Conjure-LSASS.ps1) |
| **`SeLoadDriver`** | _**Admin**_ | Ferramenta de terceiros | 1. Carregar driver de kernel com falha como szkg64.sys
2. Explorar a vulnerabilidade do driver
Alternativamente, o privilégio pode ser usado para descarregar drivers relacionados à segurança com o comando embutido ftlMC
. i.e.: fltMC sysmondrv
| 1. A vulnerabilidade szkg64
está listada como CVE-2018-15732
2. O szkg64
código de exploração foi criado por Parvez Anwar
|
| **`SeRestore`** | _**Admin**_ | **PowerShell** | 1. Iniciar PowerShell/ISE com o privilégio SeRestore presente.
2. Habilitar o privilégio com Enable-SeRestorePrivilege).
3. Renomear utilman.exe para utilman.old
4. Renomear cmd.exe para utilman.exe
5. Bloquear o console e pressionar Win+U
| A ataque pode ser detectado por alguns softwares antivírus.
Método alternativo depende de substituir binários de serviço armazenados em "Program Files" usando o mesmo privilégio
|
| **`SeTakeOwnership`** | _**Admin**_ | _**Comandos embutidos**_ | 1. takeown.exe /f "%windir%\system32"
2. icalcs.exe "%windir%\system32" /grant "%username%":F
3. Renomear cmd.exe para utilman.exe
4. Bloquear o console e pressionar Win+U
| A ataque pode ser detectado por alguns softwares antivírus.
Método alternativo depende de substituir binários de serviço armazenados em "Program Files" usando o mesmo privilégio.
|
| **`SeTcb`** | _**Admin**_ | Ferramenta de terceiros | Manipular tokens para ter direitos de admin local incluídos. Pode exigir SeImpersonate.
A ser verificado.
| |
## Referência
* Dê uma olhada nesta tabela definindo tokens do Windows: [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin)
* Dê uma olhada em [**este artigo**](https://github.com/hatRiot/token-priv/blob/master/abusing\_token\_eop\_1.0.txt) sobre privesc com tokens.
{% hint style="success" %}
Aprenda e pratique AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Aprenda e pratique GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-nos no** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
{% endhint %}