Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/windows-local-privilege-escalation/access-tokens.md
Translator workflow a21a0e7217 Translated to Chinese
2023-08-03 19:12:22 +00:00

127 lines
12 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 访问令牌
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* 你在一个**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
</details>
## 访问令牌
每个**登录到系统的用户**都持有一个包含安全信息的访问令牌。当用户登录时,系统会创建一个访问令牌。**代表用户执行的每个进程都有一个访问令牌的副本**。该令牌标识用户、用户所属的组以及用户的权限。令牌还包含一个登录SID安全标识符用于标识当前的登录会话。
你可以通过执行`whoami /all`命令查看这些信息。
```
whoami /all
USER INFORMATION
----------------
User Name SID
===================== ============================================
desktop-rgfrdxl\cpolo S-1-5-21-3359511372-53430657-2078432294-1001
GROUP INFORMATION
-----------------
Group Name Type SID Attributes
============================================================= ================ ============================================================================================================= ==================================================
Mandatory Label\Medium Mandatory Level Label S-1-16-8192
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Local account and member of Administrators group Well-known group S-1-5-114 Group used for deny only
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
BUILTIN\Performance Log Users Alias S-1-5-32-559 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 Mandatory group, Enabled by default, Enabled group
CONSOLE LOGON Well-known group S-1-2-1 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
MicrosoftAccount\cpolop@outlook.com User S-1-11-96-3623454863-58364-18864-2661722203-1597581903-3158937479-2778085403-3651782251-2842230462-2314292098 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Local account Well-known group S-1-5-113 Mandatory group, Enabled by default, Enabled group
LOCAL Well-known group S-1-2-0 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Cloud Account Authentication Well-known group S-1-5-64-36 Mandatory group, Enabled by default, Enabled group
PRIVILEGES INFORMATION
----------------------
Privilege Name Description State
============================= ==================================== ========
SeShutdownPrivilege Shut down the system Disabled
SeChangeNotifyPrivilege Bypass traverse checking Enabled
SeUndockPrivilege Remove computer from docking station Disabled
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled
SeTimeZonePrivilege Change the time zone Disabled
```
或者使用Sysinternals的_Process Explorer_选择进程并访问"Security"选项卡):
![](<../../.gitbook/assets/image (321).png>)
### 本地管理员
当本地管理员登录时,**会创建两个访问令牌**:一个具有管理员权限,另一个具有普通权限。**默认情况下**,当该用户执行进程时,将使用具有**普通**(非管理员)**权限的令牌**。当该用户尝试以管理员身份执行任何操作(例如"以管理员身份运行"将使用UAC请求权限。\
如果您想[**了解更多关于UAC的信息请阅读此页面**](../authentication-credentials-uac-and-efs.md#uac)**。**
### 凭据用户模拟
如果您拥有**任何其他用户的有效凭据**,您可以使用这些凭据**创建**一个**新的登录会话**
```
runas /user:domain\username cmd.exe
```
**访问令牌**还在**LSASS**中引用了登录会话,这对于进程需要访问网络对象非常有用。\
您可以使用以下方法启动一个进程,该进程使用不同的凭据访问网络服务:
```
runas /user:domain\username /netonly cmd.exe
```
这在你拥有访问网络中对象的有用凭据,但这些凭据在当前主机内无效时非常有用(因为它们只会在网络中使用,在当前主机上将使用当前用户权限)。
### 令牌的类型
有两种类型的令牌可用:
* **主令牌**:主令牌只能与进程关联,并表示进程的安全主体。创建主令牌和将其与进程关联都是特权操作,需要两个不同的特权,以实现特权分离 - 典型的情况是认证服务创建令牌,登录服务将其与用户的操作系统 shell 关联起来。进程最初继承父进程的主令牌的副本。
* **模拟令牌**模拟是在Windows NT中实现的安全概念允许服务器应用程序在访问安全对象方面**临时**“**成为**”**客户端**。模拟有**四个可能的级别**
* **匿名**,使服务器具有匿名/未识别用户的访问权限
* **标识**,允许服务器检查客户端的身份,但不能使用该身份访问对象
* **模拟**,允许服务器代表客户端执行操作
* **委派**,与模拟相同,但扩展到服务器连接的远程系统(通过保留凭据)。
客户端可以选择作为连接参数提供给服务器的最大模拟级别如果有。委派和模拟是特权操作模拟最初不是但由于客户端API的实现历史上的疏忽未能将默认级别限制为“标识”导致非特权服务器冒充不愿意的特权客户端因此需要它。**模拟令牌只能与线程关联**它们表示客户端进程的安全主体。模拟令牌通常是通过IPC机制如DCE RPC、DDE和命名管道隐式地创建并与当前线程关联的。
#### 模拟令牌
使用Metasploit的_incognito_模块如果你拥有足够的特权你可以轻松地**列出**和**模拟**其他**令牌**。这对于以其他用户的身份执行操作非常有用。你还可以通过这种技术**提升权限**。
### 令牌特权
了解可以滥用的**令牌特权以提升权限**
{% content-ref url="privilege-escalation-abusing-tokens/" %}
[privilege-escalation-abusing-tokens](privilege-escalation-abusing-tokens/)
{% endcontent-ref %}
查看[**所有可能的令牌特权以及有关此外部页面的一些定义**](https://github.com/gtworek/Priv2Admin)。
## 参考资料
在这些教程中了解更多关于令牌的知识:[https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa](https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa) 和 [https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962](https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* 你在一家**网络安全公司**工作吗你想在HackTricks中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)
* 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享你的黑客技巧。**
</details>
Reference in a new issue View git blame Copy permalink