14 KiB
アクセス トークン
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ企業で働いていますか? HackTricks で会社を宣伝したいですか?または、最新バージョンの PEASS にアクセスしたり、HackTricks を PDF でダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを見つけてください。独占的な NFT のコレクションです。
- 公式の PEASS & HackTricks スワッグを手に入れましょう。
- 💬 Discord グループ または telegram グループ に参加するか、Twitter 🐦@carlospolopm** をフォロー**してください。
- ハッキングのトリックを共有するには、hacktricks リポジトリ と hacktricks-cloud リポジトリ に PR を提出してください。
アクセス トークン
システムにログインしたユーザーごとに、セキュリティ情報を持つアクセス トークンが作成されます。ユーザーがログインすると、システムはアクセス トークンを作成します。ユーザーの代わりに実行されるすべてのプロセスには、アクセス トークンのコピーがあります。トークンには、ユーザー、ユーザーのグループ、およびユーザーの特権が識別されます。トークンには、現在のログインセッションを識別するログオン SID(セキュリティ識別子)も含まれています。
この情報は、whoami /all を実行して確認できます。
whoami /all
USER INFORMATION
----------------
User Name SID
===================== ============================================
desktop-rgfrdxl\cpolo S-1-5-21-3359511372-53430657-2078432294-1001
GROUP INFORMATION
-----------------
Group Name Type SID Attributes
============================================================= ================ ============================================================================================================= ==================================================
Mandatory Label\Medium Mandatory Level Label S-1-16-8192
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Local account and member of Administrators group Well-known group S-1-5-114 Group used for deny only
BUILTIN\Administrators Alias S-1-5-32-544 Group used for deny only
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
BUILTIN\Performance Log Users Alias S-1-5-32-559 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 Mandatory group, Enabled by default, Enabled group
CONSOLE LOGON Well-known group S-1-2-1 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
MicrosoftAccount\cpolop@outlook.com User S-1-11-96-3623454863-58364-18864-2661722203-1597581903-3158937479-2778085403-3651782251-2842230462-2314292098 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Local account Well-known group S-1-5-113 Mandatory group, Enabled by default, Enabled group
LOCAL Well-known group S-1-2-0 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Cloud Account Authentication Well-known group S-1-5-64-36 Mandatory group, Enabled by default, Enabled group
PRIVILEGES INFORMATION
----------------------
Privilege Name Description State
============================= ==================================== ========
SeShutdownPrivilege Shut down the system Disabled
SeChangeNotifyPrivilege Bypass traverse checking Enabled
SeUndockPrivilege Remove computer from docking station Disabled
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled
SeTimeZonePrivilege Change the time zone Disabled
または、Sysinternalsの_Process Explorer_を使用して(プロセスを選択し、「セキュリティ」タブにアクセス):
ローカル管理者
ローカル管理者がログインすると、2つのアクセス トークンが作成されます:1つは管理者権限を持ち、もう1つは通常の権限を持ちます。デフォルトでは、このユーザーがプロセスを実行するときには、通常の(管理者ではない)権限のトークンが使用されます。このユーザーが管理者として何かを実行しようとすると(たとえば、「管理者として実行」など)、UACが許可を求めるために使用されます。
UACについて詳しくは、このページを読んでください。
資格情報のユーザーなりすまし
他のユーザーの有効な資格情報を持っている場合、それらの資格情報で新しいログオンセッションを作成できます:
runas /user:domain\username cmd.exe
アクセストークンには、LSASS内のログオンセッションの参照もあります。これは、プロセスがネットワークのオブジェクトにアクセスする必要がある場合に便利です。
ネットワークサービスにアクセスするために異なる資格情報を使用するプロセスを起動することができます。
runas /user:domain\username /netonly cmd.exe
これは、ネットワーク内のオブジェクトにアクセスするための有用な資格情報を持っているが、これらの資格情報が現在のホスト内では有効ではない場合に役立ちます(現在のホストでは現在のユーザー権限が使用されます)。
トークンの種類
利用可能な2つのトークンの種類があります:
-
プライマリトークン:プライマリトークンは、プロセスに関連付けられることができ、プロセスのセキュリティサブジェクトを表します。プライマリトークンの作成とプロセスへの関連付けは、特権操作であり、特権の分離のために2つの異なる特権が必要です。典型的なシナリオでは、認証サービスがトークンを作成し、ログオンサービスがユーザーのオペレーティングシステムシェルに関連付けます。プロセスは最初に親プロセスのプライマリトークンのコピーを継承します。
-
模倣トークン:模倣は、Windows NTで実装されたセキュリティの概念であり、サーバーアプリケーションがセキュアオブジェクトへのアクセスに関して一時的に「クライアントとして」振る舞うことを可能にします。模倣には4つの可能なレベルがあります:
-
匿名:サーバーに匿名/未識別のユーザーのアクセス権を与えます
-
識別:サーバーがクライアントのアイデンティティを調査することを許可しますが、そのアイデンティティを使用してオブジェクトにアクセスすることはできません
-
模倣:サーバーがクライアントの代わりに動作することを許可します
-
委任:模倣と同じですが、サーバーが接続するリモートシステムにも拡張されます(資格情報の保存を通じて)。
クライアントは、接続パラメータとしてサーバーに利用可能な最大模倣レベル(あれば)を選択できます。委任と模倣は特権操作です(模倣は元々特権ではありませんでしたが、クライアントAPIの実装上の注意不足により、デフォルトレベルを「識別」に制限しないことで、特権のないサーバーが意図しない特権のあるクライアントを模倣することができるようになりました)。模倣トークンはスレッドにのみ関連付けることができ、クライアントプロセスのセキュリティサブジェクトを表します。模倣トークンは通常、DCE RPC、DDE、名前付きパイプなどのIPCメカニズムによって、暗黙的に現在のスレッドに作成および関連付けられます。
トークンの模倣
Metasploitの_incognito_モジュールを使用すると、十分な特権があれば他のトークンを簡単にリストして模倣することができます。これは、他のユーザーとして操作を実行するために役立つ場合があります。また、この技術を使用して特権を昇格させることもできます。
トークン特権
特権を昇格させるために悪用できるトークン特権を学びましょう:
{% content-ref url="privilege-escalation-abusing-tokens/" %} privilege-escalation-abusing-tokens {% endcontent-ref %}
外部ページで可能なトークン特権とその定義の一覧をご覧ください。
参考文献
トークンについての詳細は、次のチュートリアルを参照してください:https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfaおよびhttps://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- **サイバーセキュリティ企業で働いていますか? HackTricksであなたの会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたりしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを発見しましょう、私たちの独占的なNFTのコレクション
- 公式のPEASS&HackTricksのグッズを手に入れましょう
- 💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦@carlospolopmをフォローしてください。
- ハッキングのトリックを共有するには、hacktricks repo と hacktricks-cloud repo にPRを提出してください。