Abusing Tokens

トークン

Windowsアクセス・トークンが何か分からない場合は、続行する前にこのページを読んでください：

既に持っているトークンを悪用して特権を昇格できるかもしれません

SeImpersonatePrivilege

これは、ハンドルを取得できる限り、任意のトークンの偽装（ただし作成は不可）を許可するプロセスが保持する特権です。特権トークンは、Windowsサービス（DCOM）からNTLM認証を行うように誘導することで取得でき、その後、SYSTEM特権でプロセスを実行することが可能になります。この脆弱性は、juicy-potato、RogueWinRM（winrmが無効である必要があります）、SweetPotato、およびPrintSpooferなどのさまざまなツールを使用して悪用できます。

SeAssignPrimaryPrivilege

これはSeImpersonatePrivilegeに非常に似ており、特権トークンを取得するために同じ方法を使用します。 次に、この特権は新しい/一時停止中のプロセスにプライマリトークンを割り当てることを許可します。特権の偽装トークンを使用してプライマリトークンを派生させることができます（DuplicateTokenEx）。 トークンを使用して、'CreateProcessAsUser'で新しいプロセスを作成するか、一時停止したプロセスを作成してトークンを設定できます（一般的に、実行中のプロセスのプライマリトークンを変更することはできません）。

SeTcbPrivilege

このトークンが有効になっている場合、KERB_S4U_LOGONを使用して、資格情報を知らなくても他のユーザーの偽装トークンを取得でき、トークンに任意のグループ（管理者）を追加し、トークンの整合性レベルを「中」に設定し、このトークンを現在のスレッドに割り当てることができます（SetThreadToken）。

SeBackupPrivilege

この特権により、システムは任意のファイルに対してすべての読み取りアクセス制御を付与します（読み取り操作に制限されます）。これは、レジストリからローカル管理者アカウントのパスワードハッシュを読み取るために利用され、その後、"psexec"や"wmiexec"などのツールをハッシュと共に使用できます（Pass-the-Hash技術）。ただし、この技術は、ローカル管理者アカウントが無効になっている場合や、リモート接続するローカル管理者から管理権限を削除するポリシーが適用されている場合に失敗します。 この特権を悪用することができます：

• https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1

• https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug

• https://www.youtube.com/watch?v=IfCysW0Od8w&t=2610&ab_channel=IppSecのIppSecをフォローする

• または、以下のバックアップオペレーターによる特権昇格セクションで説明されているように：

SeRestorePrivilege

この特権により、ファイルのアクセス制御リスト（ACL）に関係なく、任意のシステムファイルへの書き込みアクセスが許可されます。これにより、サービスの変更、DLLハイジャックの実行、さまざまな技術の中でイメージファイル実行オプションを介してデバッガを設定するなど、特権昇格のための多くの可能性が開かれます。

SeCreateTokenPrivilege

SeCreateTokenPrivilegeは強力な権限であり、特にユーザーがトークンを偽装する能力を持っている場合に便利ですが、SeImpersonatePrivilegeがない場合にも有用です。この能力は、同じユーザーを表すトークンを偽装する能力に依存し、その整合性レベルが現在のプロセスの整合性レベルを超えないことが条件です。

重要なポイント：

• SeImpersonatePrivilegeなしの偽装： 特定の条件下でトークンを偽装することで、EoPのためにSeCreateTokenPrivilegeを利用することが可能です。

• トークン偽装の条件： 成功する偽装には、ターゲットトークンが同じユーザーに属し、整合性レベルが偽装を試みるプロセスの整合性レベル以下である必要があります。

• 偽装トークンの作成と変更： ユーザーは偽装トークンを作成し、特権グループのSID（セキュリティ識別子）を追加することで強化できます。

SeLoadDriverPrivilege

この特権により、特定の値を持つレジストリエントリを作成することでデバイスドライバをロードおよびアンロードできます。HKLM（HKEY_LOCAL_MACHINE）への直接書き込みアクセスが制限されているため、HKCU（HKEY_CURRENT_USER）を代わりに使用する必要があります。ただし、ドライバ設定のためにHKCUをカーネルに認識させるには、特定のパスに従う必要があります。

このパスは\Registry\User\<RID>\System\CurrentControlSet\Services\DriverNameであり、<RID>は現在のユーザーの相対識別子です。HKCU内でこの全パスを作成し、2つの値を設定する必要があります：

• ImagePath、実行されるバイナリへのパス

• Type、値はSERVICE_KERNEL_DRIVER（0x00000001）。

従うべき手順：

1. 制限された書き込みアクセスのためにHKLMの代わりにHKCUにアクセスします。

2. HKCU内に\Registry\User\<RID>\System\CurrentControlSet\Services\DriverNameのパスを作成します。ここで、<RID>は現在のユーザーの相対識別子を表します。

3. ImagePathをバイナリの実行パスに設定します。

4. TypeをSERVICE_KERNEL_DRIVER（0x00000001）として割り当てます。

# Example Python code to set the registry values
import winreg as reg

# Define the path and values
path = r'Software\YourPath\System\CurrentControlSet\Services\DriverName' # Adjust 'YourPath' as needed
key = reg.OpenKey(reg.HKEY_CURRENT_USER, path, 0, reg.KEY_WRITE)
reg.SetValueEx(key, "ImagePath", 0, reg.REG_SZ, "path_to_binary")
reg.SetValueEx(key, "Type", 0, reg.REG_DWORD, 0x00000001)
reg.CloseKey(key)

More ways to abuse this privilege in https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges#seloaddriverprivilege

SeTakeOwnershipPrivilege

これはSeRestorePrivilegeに似ています。その主な機能は、プロセスがオブジェクトの所有権を引き受けることを可能にし、WRITE_OWNERアクセス権を提供することで明示的な裁量的アクセスの要件を回避します。このプロセスは、まず書き込み目的のために対象のレジストリキーの所有権を確保し、その後DACLを変更して書き込み操作を有効にすることを含みます。

takeown /f 'C:\some\file.txt' #Now the file is owned by you
icacls 'C:\some\file.txt' /grant <your_username>:F #Now you have full access
# Use this with files that might contain credentials such as
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software
%WINDIR%\repair\security
%WINDIR%\system32\config\security.sav
%WINDIR%\system32\config\software.sav
%WINDIR%\system32\config\system.sav
%WINDIR%\system32\config\SecEvent.Evt
%WINDIR%\system32\config\default.sav
c:\inetpub\wwwwroot\web.config

SeDebugPrivilege

この特権は、他のプロセスをデバッグすることを許可し、メモリの読み書きが可能です。この特権を使用して、ほとんどのアンチウイルスおよびホスト侵入防止ソリューションを回避できるメモリ注入のさまざまな戦略を実行できます。

メモリのダンプ

ProcDumpを使用して、SysInternals Suiteからプロセスのメモリをキャプチャできます。具体的には、ユーザーがシステムに正常にログインした後にユーザーの資格情報を保存するローカルセキュリティ機関サブシステムサービス（LSASS**)**プロセスに適用できます。

その後、このダンプをmimikatzにロードしてパスワードを取得できます：

mimikatz.exe
mimikatz # log
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonpasswords

RCE

NT SYSTEM シェルを取得したい場合は、次のものを使用できます：

• SeDebugPrivilege-Exploit (C++)

• SeDebugPrivilegePoC (C#)

• psgetsys.ps1 (Powershell Script)

# Get the PID of a process running as NT SYSTEM
import-module psgetsys.ps1; [MyProcess]::CreateProcessFromParent(<system_pid>,<command_to_execute>)

権限を確認する

whoami /priv

無効として表示されるトークンは有効にすることができ、実際に_有効_および_無効_トークンを悪用することができます。

すべてのトークンを有効にする

トークンが無効になっている場合は、スクリプトEnableAllTokenPrivs.ps1を使用してすべてのトークンを有効にすることができます：

.\EnableAllTokenPrivs.ps1
whoami /priv

Or the script embed in this post.

Table

Full token privileges cheatsheet at https://github.com/gtworek/Priv2Admin, summary below will only list direct ways to exploit the privilege to obtain an admin session or read sensitive files.

Reference

• Take a look to this table defining Windows tokens: https://github.com/gtworek/Priv2Admin

• Take a look to this paper about privesc with tokens.