Access Tokens
WhiteIntel es un motor de búsqueda alimentado por la dark web que ofrece funcionalidades gratuitas para verificar si una empresa o sus clientes han sido comprometidos por malwares de robo.
El objetivo principal de WhiteIntel es combatir tomas de cuentas y ataques de ransomware resultantes de malwares que roban información.
Puedes visitar su sitio web y probar su motor de forma gratuita en:
Tokens de Acceso
Cada usuario conectado al sistema posee un token de acceso con información de seguridad para esa sesión de inicio de sesión. El sistema crea un token de acceso cuando el usuario inicia sesión. Cada proceso ejecutado en nombre del usuario tiene una copia del token de acceso. El token identifica al usuario, los grupos del usuario y los privilegios del usuario. Un token también contiene un SID de inicio de sesión (Identificador de Seguridad) que identifica la sesión de inicio de sesión actual.
Puedes ver esta información ejecutando whoami /all
Administrador local
Cuando un administrador local inicia sesión, se crean dos tokens de acceso: Uno con derechos de administrador y otro con derechos normales. Por defecto, cuando este usuario ejecuta un proceso se utiliza el que tiene derechos normales (no de administrador). Cuando este usuario intenta ejecutar algo como administrador ("Ejecutar como administrador", por ejemplo) se utilizará el UAC para solicitar permiso. Si deseas aprender más sobre el UAC lee esta página.
Suplantación de credenciales de usuario
Si tienes credenciales válidas de cualquier otro usuario, puedes crear una nueva sesión de inicio de sesión con esas credenciales:
El token de acceso también tiene una referencia de las sesiones de inicio de sesión dentro del LSASS, esto es útil si el proceso necesita acceder a algunos objetos de la red. Puedes lanzar un proceso que utiliza diferentes credenciales para acceder a servicios de red usando:
Tipos de tokens
Hay dos tipos de tokens disponibles:
Token primario: Sirve como una representación de las credenciales de seguridad de un proceso. La creación y asociación de tokens primarios con procesos son acciones que requieren privilegios elevados, enfatizando el principio de separación de privilegios. Típicamente, un servicio de autenticación es responsable de la creación del token, mientras que un servicio de inicio de sesión maneja su asociación con el shell del sistema operativo del usuario. Es importante tener en cuenta que los procesos heredan el token primario de su proceso padre al crearse.
Token de suplantación: Permite que una aplicación de servidor adopte temporalmente la identidad del cliente para acceder a objetos seguros. Este mecanismo se estratifica en cuatro niveles de operación:
Anónimo: Concede acceso al servidor similar al de un usuario no identificado.
Identificación: Permite al servidor verificar la identidad del cliente sin utilizarla para acceder a objetos.
Suplantación: Permite que el servidor opere bajo la identidad del cliente.
Delegación: Similar a la Suplantación, pero incluye la capacidad de extender esta asunción de identidad a sistemas remotos con los que el servidor interactúa, asegurando la preservación de credenciales.
Suplantación de Tokens
Utilizando el módulo incognito de Metasploit, si tienes suficientes privilegios, puedes listar y suplantar otros tokens fácilmente. Esto podría ser útil para realizar acciones como si fueras el otro usuario. También podrías escalar privilegios con esta técnica.
Privilegios de Tokens
Aprende qué privilegios de tokens pueden ser abusados para escalar privilegios:
pageAbusing TokensEcha un vistazo a todos los posibles privilegios de tokens y algunas definiciones en esta página externa.
Referencias
Aprende más sobre tokens en estos tutoriales: https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa y https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962
WhiteIntel es un motor de búsqueda alimentado por la dark web que ofrece funcionalidades gratuitas para verificar si una empresa o sus clientes han sido comprometidos por malwares robadores.
El objetivo principal de WhiteIntel es combatir tomas de cuentas y ataques de ransomware resultantes de malwares que roban información.
Puedes visitar su sitio web y probar su motor de forma gratuita en:
Última actualización