Access Tokens
WhiteIntel to wyszukiwarka zasilana przez dark web, która oferuje bezpłatne funkcje do sprawdzania, czy firma lub jej klienci zostali skompromitowani przez złośliwe oprogramowanie kradnące dane.
Ich głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z złośliwego oprogramowania kradnącego informacje.
Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:
Tokeny dostępu
Każdy zalogowany użytkownik systemu posiada token dostępu z informacjami o zabezpieczeniach dla tej sesji logowania. System tworzy token dostępu, gdy użytkownik loguje się. Każdy proces wykonany w imieniu użytkownika ma kopię tokenu dostępu. Token identyfikuje użytkownika, grupy użytkownika i uprawnienia użytkownika. Token zawiera również SID logowania (Security Identifier), który identyfikuje bieżącą sesję logowania.
Możesz zobaczyć te informacje wykonując polecenie whoami /all
lub używając Process Explorer z Sysinternals (wybierz proces i przejdź do zakładki "Security"):
Lokalny administrator
Kiedy zaloguje się lokalny administrator, tworzone są dwa tokeny dostępu: Jeden z uprawnieniami administratora i drugi z uprawnieniami normalnego użytkownika. Domyślnie, gdy ten użytkownik uruchamia proces, używany jest ten z zwykłymi (nieadministrator) uprawnieniami. Gdy ten użytkownik próbuje uruchomić cokolwiek jako administrator (na przykład "Uruchom jako administrator"), zostanie użyty UAC, aby poprosić o zgodę. Jeśli chcesz dowiedzieć się więcej o UAC, przeczytaj tę stronę.
Impersonacja użytkownika z uwierzytelnieniami
Jeśli masz ważne uwierzytelnienia innego użytkownika, możesz utworzyć nową sesję logowania z tymi uwierzytelnieniami:
Token dostępu ma również odniesienie do sesji logowania wewnątrz LSASS, co jest przydatne, jeśli proces musi uzyskać dostęp do niektórych obiektów sieciowych. Możesz uruchomić proces, który używa innych poświadczeń do uzyskiwania dostępu do usług sieciowych za pomocą:
To jest przydatne, jeśli masz użyteczne poświadczenia dostępu do obiektów w sieci, ale te poświadczenia nie są ważne w bieżącym hoście, ponieważ będą używane tylko w sieci (w bieżącym hoście będą używane twoje bieżące uprawnienia użytkownika).
Typy tokenów
Dostępne są dwa rodzaje tokenów:
Token podstawowy: Służy jako reprezentacja poświadczeń bezpieczeństwa procesu. Tworzenie i powiązanie tokenów podstawowych z procesami to działania wymagające podwyższonych uprawnień, podkreślając zasadę separacji uprawnień. Zazwyczaj usługa uwierzytelniania jest odpowiedzialna za tworzenie tokenów, podczas gdy usługa logowania zajmuje się ich powiązaniem z powłoką systemu operacyjnego użytkownika. Warto zauważyć, że procesy dziedziczą token podstawowy swojego procesu nadrzędnego podczas tworzenia.
Token podmiany: Umożliwia aplikacji serwerowej tymczasowe przyjęcie tożsamości klienta w celu uzyskania dostępu do zabezpieczonych obiektów. Ten mechanizm jest warstwowany na cztery poziomy działania:
Anonimowy: Zapewnia dostęp serwera podobny do tego, jaki ma niezidentyfikowany użytkownik.
Identyfikacja: Pozwala serwerowi zweryfikować tożsamość klienta bez jej wykorzystywania do dostępu do obiektów.
Podmiana: Umożliwia serwerowi działanie w tożsamości klienta.
Delegacja: Podobna do Podmiany, ale obejmuje możliwość rozszerzenia tego przyjęcia tożsamości na zdalne systemy, z którymi serwer współdziała, zapewniając zachowanie poświadczeń.
Podmiana tokenów
Korzystając z modułu incognito w metasploicie, jeśli masz wystarczające uprawnienia, możesz łatwo wyświetlić i podmienić inne tokeny. Może to być przydatne do wykonywania działań tak, jakbyś był innym użytkownikiem. Możesz również eskalować uprawnienia za pomocą tej techniki.
Uprawnienia tokenów
Dowiedz się, które uprawnienia tokenów mogą być wykorzystane do eskalacji uprawnień:
pageAbusing TokensZajrzyj na wszystkie możliwe uprawnienia tokenów i niektóre definicje na tej zewnętrznej stronie.
Odnośniki
Dowiedz się więcej o tokenach w tych samouczkach: https://medium.com/@seemant.bisht24/understanding-and-abusing-process-tokens-part-i-ee51671f2cfa oraz https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962
WhiteIntel to wyszukiwarka zasilana dark-webem, która oferuje darmowe funkcje do sprawdzania, czy firma lub jej klienci nie zostali skompromitowani przez złośliwe oprogramowanie kradnące informacje.
Głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z złośliwego oprogramowania kradnącego informacje.
Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:
Last updated