1. 极度安全首页
  2. 网络安全教程

CobaltStrike视频学习笔记系列:(十七)登录验证的难点

CobaltStrike视频学习笔记系列:(十七)登录验证的难点-极度安全

0x00 前言

如果当前账号权限被系统认为是本地管理员权限,那么就可以执行很多管理员才能做的事,接下来就来看一下这样的一个过程是如何工作的,其中会涉及到以下要点:

1、Access Token 登录令牌

2、Credentials 凭证

3、Password Hashes 密码哈希

4、Kerberos Tickets 登录凭据

0x01 登录令牌

登录令牌在登录之后被创建与每个进程和线程相关联

包括:

用户和用户组的信息
本地计算机上的特权列表
限制(删除用户和用户组的权限)
参考凭证(支持单点登录)
一直保存在内存中,直到系统重启

以下是令牌窃取的过程:

使用 ps 列出进程
使用 steal_token [pid] 窃取令牌
使用 getuid 找到你是谁
使用 rev2self 移除令牌

接下来将对这些命令进行演示,目前有一个 SYSTEM 权限的会话,该会话在 WIN-72A8ERDSF2P 主机下,此时想查看 WIN-P2AASSD1AF1 主机下的文件(WIN-P2AASSD1AF1 主机是 TEAMSSIX 域的域控制器),那么直接运行 dir 会提示拒绝访问。

此时,先用 ps 查看一下当前系统进程信息。

通过进程信息可以发现 TEAMSSIX 域下的管理员账户此时在当前 SYSTEM 会话的主机上是登录着的,使用 steal_token [pid] 命令窃取 TEAMSSIX\Administrator 账户的令牌。

查看一下当前会话 uid,再次尝试获取域控制器主机下的文件。

CobaltStrike视频学习笔记系列:(十七)登录验证的难点-极度安全

发现可以成功访问了,使用 rev2self 可移除当前窃取的令牌,再次查看 uid 发现变成了原来的 SYSTEM 权限,此时 WIN-P2AASSD1AF1 主机上的文件也拒绝访问了。

原创文章,作者: 极度安全 ,转载请注明出处:https://www.secvery.com/1981.html