AD横向令牌模拟攻击如何实现？

本文通过 Google 翻译 Lateral Movement – Token Impersonation 这篇文章所产生，本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。 导航 0 前言 1 访问令牌简介 2 实验环境介绍 3 模拟域管理员 – incognito.exe 3.1 使用 PsExec64.exe 转向 DC 4 模拟域管理员 – Metasploit 4.1 通过创建服务转向 DC 5 模拟域管理员 – mimikatz.exe 5.1 通过创建域管理员帐户转向 DC 6 远程模拟域管理员 – CrackMapExec 6.1 提取 SAM/SYSTEM 文件 6.2 提取用户哈希值 6.3 模拟域管理员令牌 6.4 使用 Invoke-Command 转向 DC 6.5 使用 CrackMapExec 转向 DC 0、前言 在这篇文章中，我们将学习如何使用域管理员曾登录 Windows 10 主机之后留下的访问令牌执行令牌模拟攻击。在成功模拟域管理员访问令牌之后，我们将使用此令牌的身份从 Windows 10 主机转向 DC。 首先，假设我们已在一台 win10 域主机上站稳了脚跟，并已将权限提升到了本地 SYSTEM 权限。然后，我们将学习四种不同的技术，用于枚举和模拟受害主机上的访问令牌。最后，我们将学习以域管理员用户的身份获取 Shell 的各种方法，并使用这些方法成功转向到 DC。 1、访问令牌简介 在 Windows 操作系统中，访问令牌（Access Token） 是一个包含安全信息（包含：用户 sid、组 sid、Se 特权 等）的数据结构，用于标识一个用户或进程的安全上下文（Security Context）。它是系统实现权限控制的核心机制之一。 访问令牌是在用户成功登录系统后由操作系统创建（有点类似于 Web 浏览器的 Cookie 存储帐户信息的方式），并分配给其启动的每个进程。每次访问受保护资源（如文件、注册表、服务等）时，系统就会使用访问令牌与资源的权限列表进行匹配，从而决定是否允许访问。 需要注意的是，Windows 系统存储的访问令牌一直到机器重启才会失效。但幸运的是，由于服务器一般不会重启，因此这种攻击在服务器上更为常见。 注：令牌的类型有许多种类，但可用于令牌模拟攻击的类型主要有：Delegation（委派） 和 Impersonation（模拟）。 Delegation 令牌：当用户使用其凭据（本地用户或域用户）交互登录到系统时由系统生成的，可用于跨主机访问资源。 Impersonation 令牌：是程序在已有用户认证凭据的前提下，通过调用 API 主动创建的，用于在本地模拟用户，仅能在本机访问资源。 现在，我们从高层次上了解了令牌是什么，接下来，让我们看看如何枚举和模拟留在 Windows 10 主机上的域管理员令牌。 2、实验环境介绍 在这个例子中，我们将对目标 Windows 10 机器快速进行枚举、立足、提权等步骤。 首先，使用以下命令对 DC 和 Windows 10 主机进行 nmap 扫描： nmap -A -sV -sC -T4 172.16.1.5 172.16.1.100 -p- 上图是针对 DC 的扫描结果，从结果中可知：该机器的主机名是 Juggernaut-DC，位于 Juggernaut.local 域中，服务 SMB (445)、RDP (3389) 、WinRM (5985) 正在运行。 上图是针对 Windows 10 的扫描结果，从结果中可知：该机器的主机名是 JUGG-efrost，也位于 Juggernaut.local 域中，也运行着 SMB (445)、RDP (3389) 、WinRM (5985) 这些服务，另外还发现一个运行在端口 80 上的 Web 服务。 接着，在 Web 服务上发现了一个文件上传漏洞，利用该漏洞成功上传并执行了一个 ASPX 反向 shell 脚本，从而获得了一个 efrost 身份的 shell 。 在建立立足点之后，先对本地主机进行了一些手动枚举，然后又利用当前域用户的身份又对域进行了一些枚举。在域枚举中，发现域管理组中有一个令我们感兴趣的 nessex 用户。 另外，我们发现用户 nessex 在这台机器上有一个家配置文件，这意味着该用户之前在这台机器上登录过。 在经过进一步的枚举之后，我们发现系统上存在未加引号的服务路径漏洞，通过利用该漏洞我们成功获得了一个本地 SYSTEM 权限的 shell。 有关如何利用未加引号的服务路径漏洞，可参考此文章。