19 KiB
Abusing Tokens
{% hint style="success" %}
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE)
学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 关注 我们的 Twitter 🐦 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。
Tokens
如果你不知道 Windows 访问令牌是什么,请在继续之前阅读此页面:
{% content-ref url="../access-tokens.md" %} access-tokens.md {% endcontent-ref %}
也许你可以通过滥用你已经拥有的令牌来提升权限
SeImpersonatePrivilege
这是任何进程持有的特权,允许对任何令牌进行 impersonation(但不允许创建),前提是可以获得其句柄。可以通过诱使 Windows 服务(DCOM)对一个漏洞执行 NTLM 认证来获取特权令牌,从而启用以 SYSTEM 权限执行进程。此漏洞可以使用各种工具进行利用,例如 juicy-potato、RogueWinRM(需要禁用 winrm)、SweetPotato、EfsPotato、DCOMPotato 和 PrintSpoofer。
{% content-ref url="../roguepotato-and-printspoofer.md" %} roguepotato-and-printspoofer.md {% endcontent-ref %}
{% content-ref url="../juicypotato.md" %} juicypotato.md {% endcontent-ref %}
SeAssignPrimaryPrivilege
它与 SeImpersonatePrivilege 非常相似,将使用 相同的方法 来获取特权令牌。
然后,此特权允许将主令牌分配给新的/挂起的进程。使用特权 impersonation 令牌可以派生出主令牌(DuplicateTokenEx)。
使用该令牌,可以使用 'CreateProcessAsUser' 创建一个 新进程,或创建一个挂起的进程并设置令牌(通常,无法修改正在运行的进程的主令牌)。
SeTcbPrivilege
如果你启用了此令牌,可以使用 KERB_S4U_LOGON 为任何其他用户获取 impersonation 令牌,而无需知道凭据,向令牌添加任意组(管理员),将令牌的 完整性级别 设置为 "中等",并将此令牌分配给 当前线程(SetThreadToken)。
SeBackupPrivilege
此特权使系统能够授予对任何文件的所有读取访问控制(仅限读取操作)。它用于从注册表中读取本地管理员帐户的密码哈希,随后可以使用像 "psexec" 或 "wmiexec" 这样的工具与哈希一起使用(Pass-the-Hash 技术)。然而,在以下两种情况下,此技术会失败:当本地管理员帐户被禁用,或当有政策限制本地管理员远程连接的管理权限时。
你可以通过以下方式滥用此特权:
- https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1
- https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug
- 关注 IppSec 在 https://www.youtube.com/watch?v=IfCysW0Od8w&t=2610&ab_channel=IppSec
- 或如在以下内容中所述的 通过备份操作员提升权限 部分:
{% content-ref url="../../active-directory-methodology/privileged-groups-and-token-privileges.md" %} privileged-groups-and-token-privileges.md {% endcontent-ref %}
SeRestorePrivilege
此特权提供对任何系统文件的写访问权限,无论文件的访问控制列表(ACL)如何。它为提升权限打开了许多可能性,包括修改服务、执行 DLL 劫持以及通过图像文件执行选项设置 调试器等各种其他技术。
SeCreateTokenPrivilege
SeCreateTokenPrivilege 是一种强大的权限,特别是在用户拥有 impersonate 令牌的能力时,但在没有 SeImpersonatePrivilege 的情况下也很有用。此能力依赖于能够 impersonate 代表同一用户的令牌,并且其完整性级别不超过当前进程的完整性级别。
关键点:
- 在没有 SeImpersonatePrivilege 的情况下进行 impersonation: 可以利用 SeCreateTokenPrivilege 在特定条件下通过 impersonate 令牌来实现权限提升。
- 令牌 impersonation 的条件: 成功的 impersonation 要求目标令牌属于同一用户,并且其完整性级别小于或等于尝试 impersonation 的进程的完整性级别。
- 创建和修改 impersonation 令牌: 用户可以创建一个 impersonation 令牌,并通过添加特权组的 SID(安全标识符)来增强它。
SeLoadDriverPrivilege
此特权允许加载和卸载设备驱动程序,通过创建具有特定值的注册表项 ImagePath
和 Type
。由于对 HKLM
(HKEY_LOCAL_MACHINE)的直接写访问受到限制,因此必须改为使用 HKCU
(HKEY_CURRENT_USER)。然而,为了使 HKCU
对内核可识别以进行驱动程序配置,必须遵循特定路径。
此路径为 \Registry\User\<RID>\System\CurrentControlSet\Services\DriverName
,其中 <RID>
是当前用户的相对标识符。在 HKCU
中,必须创建整个路径,并设置两个值:
ImagePath
,即要执行的二进制文件的路径Type
,值为SERVICE_KERNEL_DRIVER
(0x00000001
)。
遵循的步骤:
- 由于写访问受限,访问
HKCU
而不是HKLM
。 - 在
HKCU
中创建路径\Registry\User\<RID>\System\CurrentControlSet\Services\DriverName
,其中<RID>
代表当前用户的相对标识符。 - 将
ImagePath
设置为二进制文件的执行路径。 - 将
Type
设置为SERVICE_KERNEL_DRIVER
(0x00000001
)。
# Example Python code to set the registry values
import winreg as reg
# Define the path and values
path = r'Software\YourPath\System\CurrentControlSet\Services\DriverName' # Adjust 'YourPath' as needed
key = reg.OpenKey(reg.HKEY_CURRENT_USER, path, 0, reg.KEY_WRITE)
reg.SetValueEx(key, "ImagePath", 0, reg.REG_SZ, "path_to_binary")
reg.SetValueEx(key, "Type", 0, reg.REG_DWORD, 0x00000001)
reg.CloseKey(key)
SeTakeOwnershipPrivilege
这与 SeRestorePrivilege 类似。其主要功能允许一个进程 假定对象的所有权,绕过通过提供 WRITE_OWNER 访问权限的显式自由裁量访问要求。该过程首先确保获得所需注册表项的所有权以进行写入,然后更改 DACL 以启用写入操作。
takeown /f 'C:\some\file.txt' #Now the file is owned by you
icacls 'C:\some\file.txt' /grant <your_username>:F #Now you have full access
# Use this with files that might contain credentials such as
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software
%WINDIR%\repair\security
%WINDIR%\system32\config\security.sav
%WINDIR%\system32\config\software.sav
%WINDIR%\system32\config\system.sav
%WINDIR%\system32\config\SecEvent.Evt
%WINDIR%\system32\config\default.sav
c:\inetpub\wwwwroot\web.config
SeDebugPrivilege
此权限允许调试其他进程,包括读取和写入内存。可以利用此权限采用各种内存注入策略,能够规避大多数杀毒软件和主机入侵防御解决方案。
Dump memory
您可以使用ProcDump来自SysInternals Suite来捕获进程的内存。具体来说,这可以应用于**本地安全授权子系统服务(LSASS)**进程,该进程负责在用户成功登录系统后存储用户凭据。
然后,您可以在mimikatz中加载此转储以获取密码:
mimikatz.exe
mimikatz # log
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonpasswords
RCE
如果你想获得一个 NT SYSTEM
shell,你可以使用:
# Get the PID of a process running as NT SYSTEM
import-module psgetsys.ps1; [MyProcess]::CreateProcessFromParent(<system_pid>,<command_to_execute>)
检查权限
whoami /priv
显示为禁用的令牌可以被启用,您实际上可以利用_启用_和_禁用_令牌。
启用所有令牌
如果您有禁用的令牌,可以使用脚本EnableAllTokenPrivs.ps1来启用所有令牌:
.\EnableAllTokenPrivs.ps1
whoami /priv
Or the script embed in this post.
Table
Full token privileges cheatsheet at https://github.com/gtworek/Priv2Admin, summary below will only list direct ways to exploit the privilege to obtain an admin session or read sensitive files.
Privilege | Impact | Tool | Execution path | Remarks |
---|---|---|---|---|
SeAssignPrimaryToken |
Admin | 3rd party tool | "这将允许用户模拟令牌并使用诸如 potato.exe、rottenpotato.exe 和 juicypotato.exe 等工具提升到 nt 系统" | Thank you Aurélien Chalot for the update. I will try to re-phrase it to something more recipe-like soon. |
SeBackup |
Threat | Built-in commands | 使用 robocopy /b 读取敏感文件 |
- 如果您可以读取 %WINDIR%\MEMORY.DMP,可能会更有趣 |
SeCreateToken |
Admin | 3rd party tool | 使用 NtCreateToken 创建任意令牌,包括本地管理员权限。 |
|
SeDebug |
Admin | PowerShell | 复制 lsass.exe 令牌。 |
Script to be found at FuzzySecurity |
SeLoadDriver |
Admin | 3rd party tool | 1. 加载有缺陷的内核驱动程序,例如 |
1. |
SeRestore |
Admin | PowerShell | 1. 启动具有 SeRestore 特权的 PowerShell/ISE。 |
攻击可能会被某些 AV 软件检测到。 替代方法依赖于使用相同特权替换存储在“Program Files”中的服务二进制文件 |
SeTakeOwnership |
Admin | Built-in commands | 1. |
攻击可能会被某些 AV 软件检测到。 替代方法依赖于使用相同特权替换存储在“Program Files”中的服务二进制文件。 |
SeTcb |
Admin | 3rd party tool | 操纵令牌以包含本地管理员权限。可能需要 SeImpersonate。 待验证。 |
Reference
- Take a look to this table defining Windows tokens: https://github.com/gtworek/Priv2Admin
- Take a look to this paper about privesc with tokens.
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.