Abusing Tokens

Tokens

If you ne znate šta su Windows Access Tokens read this page before continuing:

Možda biste mogli da eskalirate privilegije zloupotrebom tokena koje već imate

SeImpersonatePrivilege

Ovo je privilegija koju drži bilo koji proces koji omogućava impersonaciju (ali ne i kreiranje) bilo kog tokena, pod uslovom da se može dobiti rukohvat za njega. Privilegovan token može se dobiti iz Windows servisa (DCOM) izazivanjem da izvrši NTLM autentifikaciju protiv exploita, što omogućava izvršenje procesa sa SYSTEM privilegijama. Ova ranjivost može se iskoristiti korišćenjem raznih alata, kao što su juicy-potato, RogueWinRM (koji zahteva da winrm bude onemogućen), SweetPotato, i PrintSpoofer.

SeAssignPrimaryPrivilege

Veoma je slična SeImpersonatePrivilege, koristiće istu metodu za dobijanje privilegovanog tokena. Zatim, ova privilegija omogućava dodeljivanje primarnog tokena novom/obustavljenom procesu. Sa privilegovanim tokenom za impersonaciju možete izvesti primarni token (DuplicateTokenEx). Sa tokenom, možete kreirati novi proces sa 'CreateProcessAsUser' ili kreirati proces u obustavljenom stanju i postaviti token (generalno, ne možete modifikovati primarni token pokrenutog procesa).

SeTcbPrivilege

Ako ste omogućili ovaj token, možete koristiti KERB_S4U_LOGON da dobijete token za impersonaciju za bilo kog drugog korisnika bez poznavanja kredencijala, dodati proizvoljnu grupu (administratore) u token, postaviti nivo integriteta tokena na "srednji", i dodeliti ovaj token trenutnoj niti (SetThreadToken).

SeBackupPrivilege

Sistem je prinuđen da dodeli sve pristupne kontrole za čitanje bilo kog fajla (ograničeno na operacije čitanja) ovom privilegijom. Koristi se za čitanje hešova lozinki lokalnih Administrator naloga iz registra, nakon čega se alati poput "psexec" ili "wmiexec" mogu koristiti sa hešom (Pass-the-Hash tehnika). Međutim, ova tehnika ne uspeva pod dva uslova: kada je lokalni Administrator nalog onemogućen, ili kada je politika na snazi koja uklanja administrativna prava lokalnim administratorima koji se povezuju na daljinu. Možete zloupotrebiti ovu privilegiju sa:

• https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1

• https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug

• prateći IppSec na https://www.youtube.com/watch?v=IfCysW0Od8w&t=2610&ab_channel=IppSec

• Ili kako je objašnjeno u sekciji eskaliranje privilegija sa Backup Operatorima:

SeRestorePrivilege

Ova privilegija omogućava pristup za pisanje bilo kojoj sistemskoj datoteci, bez obzira na Access Control List (ACL) datoteke. Otvara brojne mogućnosti za eskalaciju, uključujući mogućnost modifikacije servisa, izvođenje DLL Hijacking-a, i postavljanje debuggera putem Image File Execution Options među raznim drugim tehnikama.

SeCreateTokenPrivilege

SeCreateTokenPrivilege je moćna privilegija, posebno korisna kada korisnik ima sposobnost da impersonira tokene, ali i u odsustvu SeImpersonatePrivilege. Ova sposobnost zavisi od mogućnosti da se impersonira token koji predstavlja istog korisnika i čiji nivo integriteta ne prelazi nivo trenutnog procesa.

Ključne tačke:

• Impersonacija bez SeImpersonatePrivilege: Moguće je iskoristiti SeCreateTokenPrivilege za EoP putem impersonacije tokena pod specifičnim uslovima.

• Uslovi za impersonaciju tokena: Uspešna impersonacija zahteva da ciljni token pripada istom korisniku i da ima nivo integriteta koji je manji ili jednak nivou integriteta procesa koji pokušava impersonaciju.

• Kreiranje i modifikacija tokena za impersonaciju: Korisnici mogu kreirati token za impersonaciju i poboljšati ga dodavanjem SID-a privilegovane grupe (Security Identifier).

SeLoadDriverPrivilege

Ova privilegija omogućava učitavanje i uklanjanje drajvera uređaja kreiranjem unosa u registru sa specifičnim vrednostima za ImagePath i Type. Pošto je direktan pristup za pisanje na HKLM (HKEY_LOCAL_MACHINE) ograničen, umesto toga mora se koristiti HKCU (HKEY_CURRENT_USER). Međutim, da bi HKCU bio prepoznat od strane jezgra za konfiguraciju drajvera, mora se pratiti specifičan put.

Ovaj put je \Registry\User\<RID>\System\CurrentControlSet\Services\DriverName, gde je <RID> Relativni Identifikator trenutnog korisnika. Unutar HKCU, ovaj ceo put mora biti kreiran, i dve vrednosti treba postaviti:

• ImagePath, što je putanja do binarnog fajla koji treba izvršiti

• Type, sa vrednošću SERVICE_KERNEL_DRIVER (0x00000001).

Koraci koje treba pratiti:

1. Pristupite HKCU umesto HKLM zbog ograničenog pristupa za pisanje.

2. Kreirajte put \Registry\User\<RID>\System\CurrentControlSet\Services\DriverName unutar HKCU, gde <RID> predstavlja Relativni Identifikator trenutnog korisnika.

3. Postavite ImagePath na putanju izvršenja binarnog fajla.

4. Dodelite Type kao SERVICE_KERNEL_DRIVER (0x00000001).

# Example Python code to set the registry values
import winreg as reg

# Define the path and values
path = r'Software\YourPath\System\CurrentControlSet\Services\DriverName' # Adjust 'YourPath' as needed
key = reg.OpenKey(reg.HKEY_CURRENT_USER, path, 0, reg.KEY_WRITE)
reg.SetValueEx(key, "ImagePath", 0, reg.REG_SZ, "path_to_binary")
reg.SetValueEx(key, "Type", 0, reg.REG_DWORD, 0x00000001)
reg.CloseKey(key)

Više načina za zloupotrebu ovog privilegija u https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges#seloaddriverprivilege

SeTakeOwnershipPrivilege

Ovo je slično SeRestorePrivilege. Njegova primarna funkcija omogućava procesu da preuzme vlasništvo nad objektom, zaobilazeći zahtev za eksplicitnim diskrecionim pristupom kroz obezbeđivanje WRITE_OWNER prava pristupa. Proces uključuje prvo obezbeđivanje vlasništva nad nameravanom registracionom ključem u svrhu pisanja, a zatim menjanje DACL-a kako bi se omogućile operacije pisanja.

takeown /f 'C:\some\file.txt' #Now the file is owned by you
icacls 'C:\some\file.txt' /grant <your_username>:F #Now you have full access
# Use this with files that might contain credentials such as
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software
%WINDIR%\repair\security
%WINDIR%\system32\config\security.sav
%WINDIR%\system32\config\software.sav
%WINDIR%\system32\config\system.sav
%WINDIR%\system32\config\SecEvent.Evt
%WINDIR%\system32\config\default.sav
c:\inetpub\wwwwroot\web.config

SeDebugPrivilege

Ova privilegija omogućava debugovanje drugih procesa, uključujući čitanje i pisanje u memoriju. Različite strategije za injekciju memorije, sposobne da izbegnu većinu antivirusnih i rešenja za prevenciju upada, mogu se koristiti sa ovom privilegijom.

Dump memorije

Možete koristiti ProcDump iz SysInternals Suite da zabeležite memoriju procesa. Konkretno, ovo se može primeniti na Local Security Authority Subsystem Service (LSASS) proces, koji je odgovoran za čuvanje korisničkih kredencijala nakon što se korisnik uspešno prijavi na sistem.

Zatim možete učitati ovaj dump u mimikatz da dobijete lozinke:

mimikatz.exe
mimikatz # log
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonpasswords

RCE

Ako želite da dobijete NT SYSTEM shell, možete koristiti:

• SeDebugPrivilege-Exploit (C++)

• SeDebugPrivilegePoC (C#)

• psgetsys.ps1 (Powershell Script)

# Get the PID of a process running as NT SYSTEM
import-module psgetsys.ps1; [MyProcess]::CreateProcessFromParent(<system_pid>,<command_to_execute>)

Proverite privilegije

whoami /priv

Tokeni koji se pojavljuju kao Onemogućeni mogu se omogućiti, zapravo možete zloupotrebiti Omogućene i Onemogućene tokene.

Omogućite sve tokene

Ako imate tokene koji su onemogućeni, možete koristiti skriptu EnableAllTokenPrivs.ps1 da omogućite sve tokene:

.\EnableAllTokenPrivs.ps1
whoami /priv

Or the script embed in this post.

Table

Full token privileges cheatsheet at https://github.com/gtworek/Priv2Admin, summary below will only list direct ways to exploit the privilege to obtain an admin session or read sensitive files.

Reference

• Take a look to this table defining Windows tokens: https://github.com/gtworek/Priv2Admin

• Take a look to this paper about privesc with tokens.