WTS Impersonator
Le WTS Impersonator outil exploite le "\pipe\LSM_API_service" RPC Named pipe pour discrètement énumérer les utilisateurs connectés et usurper leurs jetons, contournant les techniques traditionnelles d'usurpation de jetons. Cette approche facilite les mouvements latéraux transparents au sein des réseaux. L'innovation derrière cette technique est attribuée à Omri Baso, dont le travail est accessible sur GitHub.
Fonctionnalité principale
L'outil fonctionne à travers une séquence d'appels API :
Modules Clés et Utilisation
Énumération des Utilisateurs: L'énumération des utilisateurs locaux et distants est possible avec l'outil, en utilisant des commandes pour chaque scénario :
Localement :
À distance, en spécifiant une adresse IP ou un nom d'hôte :
Exécution de Commandes: Les modules
exec
etexec-remote
nécessitent un contexte de Service pour fonctionner. L'exécution locale nécessite simplement l'exécutable WTSImpersonator et une commande :Exemple d'exécution de commande locale :
PsExec64.exe peut être utilisé pour obtenir un contexte de service :
Exécution de Commande à Distance: Implique la création et l'installation d'un service à distance similaire à PsExec.exe, permettant l'exécution avec les autorisations appropriées.
Exemple d'exécution à distance :
Module de Recherche d'Utilisateur: Cible des utilisateurs spécifiques sur plusieurs machines, exécutant du code sous leurs identifiants. Cela est particulièrement utile pour cibler les administrateurs de domaine avec des droits d'administration locaux sur plusieurs systèmes.
Exemple d'utilisation :
Last updated