Windows 令牌窃取

简介

Window 令牌是windows访问控制模型中的重要组成部分，主要用来对线程操作安全对象时对身份权限进行识别，获得了令牌，就可以在不提供密码或其他凭证的情况下访问网络和系统资源。这些令牌将持续存在于系统中 (除非系统重新启动)。

令牌的最大特点是随机性和不可预测性，一般的攻击者或软件都无法将令牌猜测出来。令牌一般分为以下几种：

• 访问令牌 (Access Token) 代表访问控制操作主体的系统对象。(本文主要讲 Windows 的 AccessToken)
• 密保令牌 (Security Token) 也叫作认证令牌或者硬件令牌，是一种用于实现计算机身份校验的物理设备，例如 U 盾。
• 会话令牌 (SessionToken) 是交互会话中唯一的身份标识符。

本片令牌窃取的文章中涉及的是windows 系统中的访问令牌，访问令牌是描述进程或线程的安全上下文的对象（可以理解为web中的Cookie）。令牌中的信息包括与进程或线程关联的用户帐户的标识和特权,用户在成功登录系统之后会生成访问令牌，在正常登录成功之后，点击桌面上的快捷应用均会复制桌面进程的令牌到应用的进程中，每一个进程都有此访问令牌的副本。

访问令牌又分为主令牌还是模拟令牌。每个进程都有一个主令牌，用于描述与进程关联的用户帐户的安全上下文。默认情况下，当进程的线程与安全对象交互时（例如访问文档内容，查看文件夹内容等），系统将使用主令牌。

此外，服务器进程的线程可以模拟客户端帐户。模拟允许线程使用客户端的安全上下文与安全对象进行交互，用于标识客户端、客户端的组和客户端的权限可以用来访问网络资源等，（类似与kerberos z中的委派），访问网络资源模拟客户端的线程同时具有主令牌和模拟令牌。

其他的关于令牌的以及windows 授权相关的知识建议可以首先看一下微软的官方文档：https://docs.microsoft.com/zh-cn/windows/win32/secauthz/about-authorization

令牌窃取

令牌窃取和伪造攻击主要针对Kerberos协议。令牌窃取并不是提权，列举令牌只能列出当前用户和比当前用户权限更低用户的令牌，例如当前权限是system或者是administrator，那么我们就可以看到系统中所有的令牌。

MSF中内置了令牌窃取工具incognito，我们直接使用：

use incognito

列出可查看的令牌

list_tokens -u

切换令牌

impersonate_token "令牌名称"

使用 drop_token 返回之前的 token

令牌窃取提权的防御措施

• 为了防止域管理员的令牌被窃取，应该禁止域管理员登录其它主机。如果登录了，使用完后应该及时重启电脑，从而把令牌清除。
• 及时安装微软推送的补丁
• 对于来路不明的或者危险的软件，既不要在系统中使用，也不要在虚拟机中使用
• 对令牌的时效性进行限制，以防止散列值被破解后泄露有效的令牌信息
• 对于令牌，应采取加密存储及多长验证保护
• 使用加密链路 SSL/TLS 传输令牌，以防止被中间人窃听

参考

https://docs.microsoft.com/zh-cn/windows/win32/secauthz/about-authorization
http://sh1yan.top/2019/06/09/Windows-Access-Token-Security-Exploration/
https://cloud.tencent.com/developer/article/1752172
https://cloud.tencent.com/developer/article/1752172
https://rootclay.gitbook.io/windows-access-control/access-token