Access Tokens
WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.
Il loro obiettivo principale è contrastare le violazioni degli account e gli attacchi ransomware derivanti da malware che rubano informazioni.
Puoi visitare il loro sito web e provare il loro motore gratuitamente su:
Token di Accesso
Ogni utente loggato al sistema possiede un token di accesso con informazioni di sicurezza per quella sessione di accesso. Il sistema crea un token di accesso quando l'utente effettua il login. Ogni processo eseguito a nome dell'utente ha una copia del token di accesso. Il token identifica l'utente, i gruppi dell'utente e i privilegi dell'utente. Un token contiene anche un SID di login (Security Identifier) che identifica la sessione di accesso corrente.
Puoi visualizzare queste informazioni eseguendo whoami /all
oppure utilizzando Process Explorer di Sysinternals (seleziona il processo e accedi alla scheda "Sicurezza"):
Amministratore locale
Quando accede un amministratore locale, vengono creati due token di accesso: uno con i diritti di amministratore e l'altro con i diritti normali. Per impostazione predefinita, quando questo utente esegue un processo viene utilizzato quello con i diritti regolari (non amministratore). Quando questo utente cerca di eseguire qualcosa come amministratore ("Esegui come amministratore", ad esempio) verrà utilizzato il UAC per chiedere il permesso. Se desideri saperne di più sull'UAC leggi questa pagina.
Impersonificazione utente delle credenziali
Se hai le credenziali valide di un altro utente, puoi creare una nuova sessione di accesso con tali credenziali:
L'accesso token ha anche un riferimento delle sessioni di accesso all'interno del LSASS, questo è utile se il processo ha bisogno di accedere ad alcuni oggetti della rete. È possibile avviare un processo che utilizza credenziali diverse per accedere ai servizi di rete utilizzando:
Questo è utile se si dispongono di credenziali utili per accedere agli oggetti nella rete ma tali credenziali non sono valide all'interno dell'host attuale in quanto verranno utilizzate solo nella rete (nell'host attuale verranno utilizzati i privilegi dell'utente corrente).
Tipi di token
Ci sono due tipi di token disponibili:
Token primario: Serve come rappresentazione delle credenziali di sicurezza di un processo. La creazione e l'associazione di token primari con i processi sono azioni che richiedono privilegi elevati, sottolineando il principio della separazione dei privilegi. Tipicamente, un servizio di autenticazione è responsabile della creazione del token, mentre un servizio di accesso gestisce la sua associazione con la shell del sistema operativo dell'utente. È importante notare che i processi ereditano il token primario del processo genitore alla creazione.
Token di impersonificazione: Permette a un'applicazione server di adottare temporaneamente l'identità del client per accedere agli oggetti sicuri. Questo meccanismo è stratificato in quattro livelli di funzionamento:
Anonimo: Concede all server accesso simile a quello di un utente non identificato.
Identificazione: Consente al server di verificare l'identità del client senza utilizzarla per l'accesso agli oggetti.
Impersonificazione: Consente al server di operare con l'identità del client.
Delega: Simile all'Impersonificazione ma include la capacità di estendere questa assunzione di identità a sistemi remoti con cui il server interagisce, garantendo la conservazione delle credenziali.
Impersonare Token
Utilizzando il modulo incognito di metasploit, se si dispone di sufficienti privilegi, è possibile elencare e impersonare altri token. Questo potrebbe essere utile per eseguire azioni come se si fosse l'altro utente. È anche possibile escalare i privilegi con questa tecnica.
Privilegi dei Token
Scopri quali privilegi dei token possono essere abusati per l'escalation dei privilegi:
pageAbusing TokensDai un'occhiata a tutti i possibili privilegi dei token e alcune definizioni su questa pagina esterna.
Riferimenti
Per saperne di più sui token in questi tutorial: https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa e https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962
WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.
L'obiettivo principale di WhiteIntel è combattere i sequestri di account e gli attacchi ransomware derivanti da malware che rubano informazioni.
Puoi visitare il loro sito web e provare il loro motore gratuitamente su:
Last updated