Penetración de intranet_robo de tokens
0x01. Introducción del token
El token se refiere a una clave secreta temporal en el sistema, que es equivalente a una cuenta y una contraseña. Con un token, puede acceder a los recursos relacionados con el objetivo sin conocer la contraseña. Estos tokens seguirán existiendo en el sistema. a menos que se reinicie el sistema
0x02 Clasificación de tokens de acceso
Token de delegación: inicio de sesión interactivo (por ejemplo: inicio de sesión de usuario local, escritorio de usuario, etc.)
Token de suplantación: inicio de sesión no interactivo (ejemplo: uso de red para acceder a archivos compartidos)
Ambos tokens solo se borrarán después de que se reinicie el sistema; el token de autorización se convertirá en un token de suplantación y seguirá siendo válido después de que el usuario cierre la sesión. También se puede entender que el tipo de recursos del sistema al que puede acceder un determinado proceso o subproceso en el sistema actual depende completamente de qué token contiene su proceso actual.
De forma predeterminada, cuando enumeramos tokens, solo podemos enumerar los tokens del usuario actual y los usuarios con permisos más bajos que el usuario actual. En segundo lugar, ¡el robo de tokens no significa una escalada de privilegios!
0x03. Escenarios de uso
Los permisos que obtenemos a través de la escalada de privilegios exp o Eternal Blue son System. Si no podemos obtener la contraseña del usuario administrador usando mimikatz y hashdump, entonces solo podemos transferir los permisos mediante el robo de tokens y obtener la contraseña del usuario administrador.shell, iniciando así ciertos servicios como usuario administrador (porque algunos servicios sólo pueden ser iniciados por el usuario administrador)
0x04. Protocolo Kerberos
Kerberos es un protocolo de autenticación de red diseñado para aplicaciones cliente/servidor a través de un sistema de claves El programa proporciona potentes servicios de autenticación
- 客户端向认证服务器AS发送请求,要求得到服务器的证书
- AS收到请求后,将包含客户端密钥的加密证书响应发送给客户端,该证书包括服务器ticket(包括服务器密钥加密的客户机身份和一份会话密钥)和一个临时加密密钥(又称会话密钥,session key)当然,认证服务器也会给服务器发送一份该证书,用来使服务器认证登陆客户端的身份
- 客户端将ticket传送到服务器上,服务器确认该客户端的话,便允许它登陆服务器
- 客户端登陆成功后,攻击者就可以通过入侵服务器获取客户端的令牌
0x04.Combate real de MSF
(1) Por ejemplo, hemos desactivado una máquina y los permisos actuales son los siguientes:
(2) Incognito está integrado en Metasploit y se puede usar directamente:
use incognito //使用该模块
list_tokens -u // 查看所有令牌
(3) Aquí robamos el token del usuario del SISTEMA, el comando es el siguiente:
impersonate_token 'NT AUTHORITY\SYSTEM'
Como se muestra en la imagen de arriba, hemos robado con éxito el token del SISTEMA.
0x05 CS Practical Combat
(1) Por ejemplo, nos hemos hecho cargo de una máquina y, después de la escalada de privilegios, los permisos son los siguientes:
(2) Luego verifique el proceso actual:
(3) Puede ver que además del usuario actual, también está el usuario weblogic\administrator
(4) En este momento, podemos inyectar este proceso y conectarnos a CobaltStrike:
(5) Después de que la inyección sea exitosa, encontraremos que hay una cuenta más:
