Access Tokens
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Sie können ihre Website besuchen und ihre Engine kostenlos ausprobieren unter:
Zugriffstoken
Jeder angemeldete Benutzer im System besitzt ein Zugriffstoken mit Sicherheitsinformationen für diese Anmeldesitzung. Das System erstellt ein Zugriffstoken, wenn sich der Benutzer anmeldet. Jeder im Namen des Benutzers ausgeführte Prozess hat eine Kopie des Zugriffstokens. Das Token identifiziert den Benutzer, die Gruppen des Benutzers und die Berechtigungen des Benutzers. Ein Token enthält auch eine Anmeldesitzungs-SID (Sicherheitskennung), die die aktuelle Anmeldesitzung identifiziert.
Sie können diese Informationen anzeigen, indem Sie whoami /all
ausführen.
oder mit Process Explorer von Sysinternals (Prozess auswählen und auf die Registerkarte "Sicherheit" zugreifen):
Lokaler Administrator
Wenn sich ein lokaler Administrator anmeldet, werden zwei Zugriffstoken erstellt: Eins mit Adminrechten und das andere mit normalen Rechten. Standardmäßig wird bei der Ausführung eines Prozesses durch diesen Benutzer das mit normalen (nicht-Administrator) Rechten verwendet. Wenn dieser Benutzer versucht, etwas als Administrator auszuführen ("Als Administrator ausführen" zum Beispiel), wird die UAC verwendet, um um Erlaubnis zu bitten. Wenn Sie mehr über die UAC erfahren möchten, lesen Sie diese Seite hier.
Benutzerimitation von Anmeldeinformationen
Wenn Sie gültige Anmeldeinformationen eines anderen Benutzers haben, können Sie eine neue Anmeldesitzung mit diesen Anmeldeinformationen erstellen:
Das Zugriffstoken enthält auch eine Referenz der Anmeldesitzungen innerhalb des LSASS. Dies ist nützlich, wenn der Prozess auf Objekte im Netzwerk zugreifen muss. Sie können einen Prozess starten, der verschiedene Anmeldeinformationen für den Zugriff auf Netzwerkdienste verwendet, indem Sie:
Arten von Tokens
Es gibt zwei Arten von verfügbaren Tokens:
Primäres Token: Dient als Repräsentation der Sicherheitsanmeldeinformationen eines Prozesses. Die Erstellung und Zuordnung von primären Tokens zu Prozessen sind Aktionen, die erhöhte Berechtigungen erfordern und das Prinzip der Berechtigungstrennung betonen. Typischerweise ist ein Authentifizierungsdienst für die Token-Erstellung verantwortlich, während ein Anmeldedienst die Zuordnung mit der Betriebssystemshell des Benutzers behandelt. Es ist erwähnenswert, dass Prozesse das Primärtoken ihres übergeordneten Prozesses bei der Erstellung erben.
Imitierungs-Token: Ermächtigt eine Serveranwendung, vorübergehend die Identität des Clients anzunehmen, um auf sichere Objekte zuzugreifen. Dieser Mechanismus ist in vier Betriebsstufen unterteilt:
Anonym: Gewährt dem Server Zugriff ähnlich wie bei einem nicht identifizierten Benutzer.
Identifikation: Ermöglicht es dem Server, die Identität des Clients zu überprüfen, ohne sie für den Objektzugriff zu verwenden.
Imitierung: Ermöglicht es dem Server, unter der Identität des Clients zu arbeiten.
Delegation: Ähnlich wie Imitierung, beinhaltet jedoch die Möglichkeit, diese Identitätsannahme auf entfernte Systeme auszudehnen, mit denen der Server interagiert, um die Aufrechterhaltung von Anmeldeinformationen sicherzustellen.
Tokens imitieren
Mit dem incognito Modul von Metasploit können Sie bei ausreichenden Berechtigungen einfach andere Tokens auflisten und imitieren. Dies könnte nützlich sein, um Aktionen auszuführen, als wären Sie der andere Benutzer. Mit dieser Technik könnten Sie auch Berechtigungen eskalieren.
Token-Berechtigungen
Erfahren Sie, welche Token-Berechtigungen missbraucht werden können, um Berechtigungen zu eskalieren:
Werfen Sie einen Blick auf alle möglichen Token-Berechtigungen und einige Definitionen auf dieser externen Seite.
Referenzen
Erfahren Sie mehr über Tokens in diesen Tutorials: https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa und https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Sie können ihre Website besuchen und ihre Suchmaschine kostenlos ausprobieren unter:
Last updated