Abusing Tokens

Tokens

If you nie wiesz, czym są tokeny dostępu w systemie Windows, przeczytaj tę stronę przed kontynuowaniem:

Możesz być w stanie podnieść uprawnienia, wykorzystując tokeny, które już masz

SeImpersonatePrivilege

To uprawnienie, które posiada każdy proces, pozwala na impersonację (ale nie tworzenie) dowolnego tokena, pod warunkiem, że można uzyskać do niego uchwyt. Uprzywilejowany token można uzyskać z usługi Windows (DCOM), skłaniając ją do przeprowadzenia uwierzytelnienia NTLM przeciwko exploitowi, co następnie umożliwia wykonanie procesu z uprawnieniami SYSTEM. Ta luka może być wykorzystana za pomocą różnych narzędzi, takich jak juicy-potato, RogueWinRM (które wymaga wyłączenia winrm), SweetPotato i PrintSpoofer.

SeAssignPrimaryPrivilege

Jest bardzo podobne do SeImpersonatePrivilege, użyje tej samej metody do uzyskania uprzywilejowanego tokena. Następnie to uprawnienie pozwala przypisać token główny do nowego/zawieszonego procesu. Z uprzywilejowanym tokenem impersonacyjnym możesz uzyskać token główny (DuplicateTokenEx). Z tym tokenem możesz stworzyć nowy proces za pomocą 'CreateProcessAsUser' lub stworzyć proces zawieszony i ustawić token (ogólnie nie możesz modyfikować głównego tokena działającego procesu).

SeTcbPrivilege

Jeśli masz włączony ten token, możesz użyć KERB_S4U_LOGON do uzyskania tokena impersonacyjnego dla dowolnego innego użytkownika bez znajomości poświadczeń, dodać dowolną grupę (administratorów) do tokena, ustawić poziom integralności tokena na "średni" i przypisać ten token do bieżącego wątku (SetThreadToken).

SeBackupPrivilege

System jest zmuszony do przyznania pełnego dostępu do odczytu do dowolnego pliku (ograniczonego do operacji odczytu) przez to uprawnienie. Jest wykorzystywane do odczytywania hashy haseł lokalnych kont administratorów z rejestru, po czym narzędzia takie jak "psexec" lub "wmiexec" mogą być używane z hashem (technika Pass-the-Hash). Jednak ta technika zawodzi w dwóch warunkach: gdy konto lokalnego administratora jest wyłączone lub gdy obowiązuje polityka, która odbiera prawa administracyjne lokalnym administratorom łączącym się zdalnie. Możesz wykorzystać to uprawnienie za pomocą:

• https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1

• https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug

• śledząc IppSec w https://www.youtube.com/watch?v=IfCysW0Od8w&t=2610&ab_channel=IppSec

• Lub jak wyjaśniono w sekcji podnoszenia uprawnień z operatorami kopii zapasowej w:

SeRestorePrivilege

Uprawnienie do dostępu do zapisu do dowolnego pliku systemowego, niezależnie od listy kontroli dostępu (ACL) pliku, jest zapewniane przez to uprawnienie. Otwiera to wiele możliwości podnoszenia uprawnień, w tym możliwość modyfikacji usług, przeprowadzania DLL Hijacking oraz ustawiania debuggerów za pomocą opcji wykonania pliku obrazu, wśród różnych innych technik.

SeCreateTokenPrivilege

SeCreateTokenPrivilege to potężne uprawnienie, szczególnie przydatne, gdy użytkownik ma możliwość impersonacji tokenów, ale także w przypadku braku SeImpersonatePrivilege. Ta zdolność opiera się na możliwości impersonacji tokena, który reprezentuje tego samego użytkownika i którego poziom integralności nie przekracza poziomu bieżącego procesu.

Kluczowe punkty:

• Impersonacja bez SeImpersonatePrivilege: Możliwe jest wykorzystanie SeCreateTokenPrivilege do EoP poprzez impersonację tokenów w określonych warunkach.

• Warunki dla impersonacji tokenów: Udana impersonacja wymaga, aby docelowy token należał do tego samego użytkownika i miał poziom integralności, który jest mniejszy lub równy poziomowi integralności procesu próbującego impersonacji.

• Tworzenie i modyfikacja tokenów impersonacyjnych: Użytkownicy mogą tworzyć token impersonacyjny i wzbogacać go, dodając SID (identyfikator zabezpieczeń) uprzywilejowanej grupy.

SeLoadDriverPrivilege

To uprawnienie pozwala na ładowanie i odładowywanie sterowników urządzeń poprzez utworzenie wpisu w rejestrze z określonymi wartościami dla ImagePath i Type. Ponieważ bezpośredni dostęp do zapisu w HKLM (HKEY_LOCAL_MACHINE) jest ograniczony, należy zamiast tego wykorzystać HKCU (HKEY_CURRENT_USER). Jednak aby HKCU był rozpoznawany przez jądro do konfiguracji sterownika, należy przestrzegać określonej ścieżki.

Ta ścieżka to \Registry\User\<RID>\System\CurrentControlSet\Services\DriverName, gdzie <RID> to identyfikator względny bieżącego użytkownika. Wewnątrz HKCU należy utworzyć całą tę ścieżkę i ustawić dwie wartości:

• ImagePath, która jest ścieżką do wykonywanego pliku binarnego

• Type, z wartością SERVICE_KERNEL_DRIVER (0x00000001).

Kroki do wykonania:

1. Uzyskaj dostęp do HKCU zamiast HKLM z powodu ograniczonego dostępu do zapisu.

2. Utwórz ścieżkę \Registry\User\<RID>\System\CurrentControlSet\Services\DriverName w HKCU, gdzie <RID> reprezentuje względny identyfikator bieżącego użytkownika.

3. Ustaw ImagePath na ścieżkę wykonywania pliku binarnego.

4. Przypisz Type jako SERVICE_KERNEL_DRIVER (0x00000001).

# Example Python code to set the registry values
import winreg as reg

# Define the path and values
path = r'Software\YourPath\System\CurrentControlSet\Services\DriverName' # Adjust 'YourPath' as needed
key = reg.OpenKey(reg.HKEY_CURRENT_USER, path, 0, reg.KEY_WRITE)
reg.SetValueEx(key, "ImagePath", 0, reg.REG_SZ, "path_to_binary")
reg.SetValueEx(key, "Type", 0, reg.REG_DWORD, 0x00000001)
reg.CloseKey(key)

Więcej sposobów na nadużycie tego przywileju w https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges#seloaddriverprivilege

SeTakeOwnershipPrivilege

To jest podobne do SeRestorePrivilege. Jego główną funkcją jest umożliwienie procesowi przyjęcia własności obiektu, omijając wymóg wyraźnego dostępu dyskrecjonalnego poprzez przyznanie praw dostępu WRITE_OWNER. Proces polega najpierw na zabezpieczeniu własności zamierzonego klucza rejestru w celu pisania, a następnie na zmianie DACL, aby umożliwić operacje zapisu.

takeown /f 'C:\some\file.txt' #Now the file is owned by you
icacls 'C:\some\file.txt' /grant <your_username>:F #Now you have full access
# Use this with files that might contain credentials such as
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software
%WINDIR%\repair\security
%WINDIR%\system32\config\security.sav
%WINDIR%\system32\config\software.sav
%WINDIR%\system32\config\system.sav
%WINDIR%\system32\config\SecEvent.Evt
%WINDIR%\system32\config\default.sav
c:\inetpub\wwwwroot\web.config

SeDebugPrivilege

Ten przywilej pozwala na debugowanie innych procesów, w tym na odczyt i zapis w pamięci. Można wykorzystać różne strategie wstrzykiwania pamięci, które są w stanie omijać większość rozwiązań antywirusowych i zapobiegających włamaniom na hoście, korzystając z tego przywileju.

Zrzut pamięci

Możesz użyć ProcDump z SysInternals Suite do złapania pamięci procesu. W szczególności dotyczy to procesu Local Security Authority Subsystem Service (LSASS), który jest odpowiedzialny za przechowywanie poświadczeń użytkowników po pomyślnym zalogowaniu się użytkownika do systemu.

Następnie możesz załadować ten zrzut w mimikatz, aby uzyskać hasła:

mimikatz.exe
mimikatz # log
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonpasswords

RCE

Jeśli chcesz uzyskać powłokę NT SYSTEM, możesz użyć:

• SeDebugPrivilege-Exploit (C++)

• SeDebugPrivilegePoC (C#)

• psgetsys.ps1 (Powershell Script)

# Get the PID of a process running as NT SYSTEM
import-module psgetsys.ps1; [MyProcess]::CreateProcessFromParent(<system_pid>,<command_to_execute>)

Sprawdź uprawnienia

whoami /priv

Tokeny, które pojawiają się jako Wyłączone, mogą być włączone, możesz faktycznie nadużywać Włączonych i Wyłączonych tokenów.

Włącz wszystkie tokeny

Jeśli masz tokeny wyłączone, możesz użyć skryptu EnableAllTokenPrivs.ps1, aby włączyć wszystkie tokeny:

.\EnableAllTokenPrivs.ps1
whoami /priv

Or the script embed in this post.

Table

Full token privileges cheatsheet at https://github.com/gtworek/Priv2Admin, summary below will only list direct ways to exploit the privilege to obtain an admin session or read sensitive files.

Reference

• Take a look to this table defining Windows tokens: https://github.com/gtworek/Priv2Admin

• Take a look to this paper about privesc with tokens.