| .. | ||
| abuse-seloaddriverprivilege.md | ||
| README.md | ||
トークンの悪用
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ企業で働いていますか? HackTricksで企業を宣伝したいですか?または、最新バージョンのPEASSにアクセスしたいですか、またはHackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つけてください
- 公式PEASS&HackTricksのグッズを手に入れましょう
- 💬 Discordグループに参加するか、telegramグループに参加するか、Twitterで私をフォローする**🐦@carlospolopm.**
- ハッキングトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。
トークン
Windowsアクセストークンが何かわからない場合は、続行する前にこのページを読んでください:
{% content-ref url="../access-tokens.md" %} access-tokens.md {% endcontent-ref %}
おそらく、すでに持っているトークンを悪用して特権を昇格させることができるかもしれません
SeImpersonatePrivilege(3.1.1)
この特権を持つプロセスは、取得できるトークンを偽装(作成はできません)できます。Windowsサービス(DCOM)から特権トークンを取得し、NTLM認証を使ってシステムとしてプロセスを実行できます。juicy-potato、RogueWinRM(winrmを無効にする必要あり)、SweetPotato、PrintSpooferで悪用できます:
{% content-ref url="../roguepotato-and-printspoofer.md" %} roguepotato-and-printspoofer.md {% endcontent-ref %}
{% content-ref url="../juicypotato.md" %} juicypotato.md {% endcontent-ref %}
SeAssignPrimaryPrivilege(3.1.2)
SeImpersonatePrivilegeと非常に似ており、特権トークンを取得するために同じ方法を使用します。
その後、この特権は、新しい/中断されたプロセスにプライマリトークンを割り当てることを可能にします。特権偽装トークンを使用してプライマリトークン(DuplicateTokenEx)を派生させることができます。
トークンを使用して、'CreateProcessAsUser'で新しいプロセスを作成したり、プロセスを中断してトークンを設定したりできます(一般的に、実行中のプロセスのプライマリトークンを変更することはできません)。
SeTcbPrivilege(3.1.3)
このトークンを有効にしている場合、KERB_S4U_LOGONを使用して、資格情報を知らなくても他のユーザーのために偽装トークンを取得し、任意のグループ(管理者)を追加し、トークンの整合性レベルを「medium」に設定し、このトークンを現在のスレッドに割り当てることができます(SetThreadToken)。
SeBackupPrivilege(3.1.4)
この特権により、システムは任意のファイルに読み取りアクセス権をすべて付与します(読み取りのみ)。
これを使用して、レジストリからローカル管理者アカウントのパスワードハッシュを読み取り、その後、ハッシュ(PTH)を使用して「psexec」または「wmicexec」を使用できます。
この攻撃は、ローカル管理者が無効になっている場合、またはリモートで接続されている場合にローカル管理者が管理者でないように構成されている場合には機能しません。
次の方法でこの特権を悪用できます:
- https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1
- https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug
- https://www.youtube.com/watch?v=IfCysW0Od8w&t=2610&ab_channel=IppSecでIppSecに従う
- または、次の方法でバックアップオペレーターを使用して特権を昇格するセクションで説明されているように:
{% content-ref url="../../active-directory-methodology/privileged-groups-and-token-privileges.md" %} privileged-groups-and-token-privileges.md {% endcontent-ref %}
SeRestorePrivilege(3.1.5)
システム上の任意のファイルに書き込みアクセス権を与えます。
サービスの変更、DLLハイジャック、デバッガーの設定(Image File Execution Options)など、昇格するための多くのオプションがあります。
SeCreateTokenPrivilege(3.1.6)
このトークンは、ユーザーがトークンを偽装できる場合にのみEoPメソッドとして使用できます(SeImpersonatePrivilegeがなくても)。
可能なシナリオでは、ユーザーが同じユーザー用のトークンを偽装し、整合性レベルが現在のプロセスの整合性レベル以下である場合に、トークンに特権グループSIDを追加できます。
SeLoadDriverPrivilege(3.1.7)
デバイスドライバーの読み込みとアンロードができます。
ImagePathとTypeの値を持つレジストリにエントリを作成する必要があります。
HKLMに書き込み権限がないため、HKCUを使用する必要があります。ただし、HKCUはカーネルにとって意味がないため、カーネルにガイドする方法は、ドライバー構成のための期待されるパスを使用するため、パスを使用することです:"\Registry\User\S-1-5-21-582075628-3447520101-2530640108-1003\System\CurrentControlSet\Services\DriverName"(IDは現在のユーザーのRIDです)。
したがって、HKCU内にそのパスをすべて作成し、ImagePath(実行されるバイナリのパス)とType(SERVICE_KERNEL_DRIVER 0x00000001)を設定する必要があります。
{% content-ref url="abuse-seloaddriverprivilege.md" %} abuse-seloaddriverprivilege.md {% endcontent-ref %}
SeTakeOwnershipPrivilege(3.1.8)
この特権はSeRestorePrivilegeに非常に似ています。
WRITE_OWNERアクセス権を付与することで、「任意のオブジェクトの所有権を取得することができます。
まず、書き込むレジストリキーの所有権を取得し、書き込むことができるようにDACLを変更する必要があります。
takeown /f 'C:\some\file.txt' #Now the file is owned by you
icacls 'C:\some\file.txt' /grant <your_username>:F #Now you have full access
# Use this with files that might contain credentials such as
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software
%WINDIR%\repair\security
%WINDIR%\system32\config\security.sav
%WINDIR%\system32\config\software.sav
%WINDIR%\system32\config\system.sav
%WINDIR%\system32\config\SecEvent.Evt
%WINDIR%\system32\config\default.sav
c:\inetpub\wwwwroot\web.config
SeDebugPrivilege (3.1.9)
これにより、他のプロセスをデバッグすることができます。これには、そのプロセスのメモリに読み書きすることが含まれます。
この特権を使用すると、AV/HIPS ソリューションの大部分を回避するために使用できるさまざまなメモリインジェクション戦略があります。
メモリのダンプ
この特権の乱用の一例として、SysInternalsからProcDumpを実行して、プロセスのメモリをダンプすることが挙げられます。たとえば、ユーザーがシステムにログオンした後にユーザーの資格情報を格納するLocal Security Authority Subsystem Service (LSASS**)**プロセスです。
その後、このダンプをmimikatzに読み込んでパスワードを取得できます:
mimikatz.exe
mimikatz # log
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonpasswords
RCE
NT SYSTEMのシェルを取得したい場合は、次の方法を使用できます:
# Get the PID of a process running as NT SYSTEM
import-module psgetsys.ps1; [MyProcess]::CreateProcessFromParent(<system_pid>,<command_to_execute>)
権限の確認
whoami /priv
無効になっているトークンは有効にできます。実際には、Enabled と Disabled トークンを悪用することができます。
すべてのトークンを有効にする
EnableAllTokenPrivs.ps1 スクリプトを使用して、すべてのトークンを有効にできます。
.\EnableAllTokenPrivs.ps1
whoami /priv
または、この投稿に埋め込まれたスクリプト。
テーブル
完全なトークン特権チートシートはhttps://github.com/gtworek/Priv2Adminにあり、以下の要約は管理者セッションを取得したり機密ファイルを読むための特権を悪用する直接的な方法のみをリストします。
| 特権 | 影響 | ツール | 実行パス | 備考 |
|---|---|---|---|---|
SeAssignPrimaryToken |
Admin | サードパーティーツール | "ユーザーがトークンを偽装し、potato.exe、rottenpotato.exe、juicypotato.exeなどのツールを使用してntシステムに昇格することを可能にします" | 更新情報を提供してくれたAurélien Chalotに感謝します。近々、もう少しレシピのような表現に言い換えてみます。 |
SeBackup |
Threat | 組み込みコマンド | robocopy /bで機密ファイルを読む |
- %WINDIR%\MEMORY.DMPを読むことができるとさらに興味深いかもしれません |
SeCreateToken |
Admin | サードパーティーツール | NtCreateTokenを使用してローカル管理者権限を含む任意のトークンを作成します。 |
|
SeDebug |
Admin | PowerShell | lsass.exeトークンを複製します。 |
スクリプトはFuzzySecurityで見つけることができます |
SeLoadDriver |
Admin | サードパーティーツール | 1. |
1. |
SeRestore |
Admin | PowerShell | 1. SeRestore特権が存在する状態でPowerShell/ISEを起動します。 |
一部のAVソフトウェアによって攻撃が検出される可能性があります。 代替手法は、同じ特権を使用して「Program Files」に格納されたサービスバイナリを置き換えることに依存します |
SeTakeOwnership |
Admin | 組み込みコマンド | 1. |
一部のAVソフトウェアによって攻撃が検出される可能性があります。 代替手法は、同じ特権を使用して「Program Files」に格納されたサービスバイナリを置き換えることに依存します。 |
SeTcb |
Admin | サードパーティーツール | トークンを操作してローカル管理者権限を含める。SeImpersonateが必要な場合があります。 検証する必要があります。 |
参考
- Windowsトークンを定義するこのテーブルを参照してください:https://github.com/gtworek/Priv2Admin
- トークンを使用した昇格についてのこの論文をご覧ください。