TokenSnatcher - 作为系统运行

您是否有时会遇到无法成为管理员的情况？

• 试图访问隐藏的注册表项？
• 试图删除被遗忘的 c:\windows\csc 文件夹？
• 试图停止服务只是为了拒绝访问？
• 等等等等等等

一种明显的解决方案是将您自己的凭据提升为系统凭据。作为系统运行进程将允许您在系统上执行几乎所有操作（所以要小心！）。

大多数面临这一挑战的人将恢复使用 Microsoft（以前称为 Sysinternals）的 PSexec.exe。

在 Easy365Manager，我们非常钦佩 PSexec 的创建者 Mark Russinovich。与 TokenSnatcher 相反，PSexec 工具经过了很好的测试，我们强烈建议尽可能使用该工具。

但是，PSexec 确实会留下足迹，其中包括在您的系统上安装 Windows 服务。在某些情况下，这可能是不希望或不可能的。

另外，也许你想成为系统以外的人？使用 TokenSnatcher，您可以成为任何“足够愚蠢”的人来在您的系统上运行进程！

TokenSnatcher 是如何工作的？

TokenSnatcher 是一个纯粹的可执行文件，不安装任何东西。它使用您的管理员凭据（您必须具有本地系统管理员权限才能运行它）来扫描系统上运行的所有进程。

扫描进程后，TokenSnatcher 将为您提供系统上运行进程的所有身份的列表：

只需输入您想要抢夺的进程令牌（身份）的编号，TokenSnatcher 就会生成一个新的命令提示符作为所选身份运行。

要在生成的命令提示符中确认您的新身份，您可以使用 Whoami /all。在下面的输出中，您可以看到我选择复制作为系统运行的进程的令牌：

c:\>whoami /all

USER INFORMATION
----------------

User Name           SID
=================== ========
nt authority\system S-1-5-18


GROUP INFORMATION
-----------------

Group Name                             Type             SID          Attributes
====================================== ================ ============ ==================================================
BUILTIN\Administrators                 Alias            S-1-5-32-544 Enabled by default, Enabled group, Group owner
Everyone                               Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users       Well-known group S-1-5-11     Mandatory group, Enabled by default, Enabled group
Mandatory Label\System Mandatory Level Label            S-1-16-16384


PRIVILEGES INFORMATION
----------------------

Privilege Name                            Description                                                        State
========================================= ================================================================== ========
SeCreateTokenPrivilege                    Create a token object                                              Enabled
SeAssignPrimaryTokenPrivilege             Replace a process level token                                      Enabled
SeLockMemoryPrivilege                     Lock pages in memory                                               Enabled
SeIncreaseQuotaPrivilege                  Adjust memory quotas for a process                                 Enabled
SeTcbPrivilege                            Act as part of the operating system                                Enabled
SeSecurityPrivilege                       Manage auditing and security log                                   Disabled
SeTakeOwnershipPrivilege                  Take ownership of files or other objects                           Disabled
SeLoadDriverPrivilege                     Load and unload device drivers                                     Disabled
SeSystemProfilePrivilege                  Profile system performance                                         Enabled
SeSystemtimePrivilege                     Change the system time                                             Disabled
SeProfileSingleProcessPrivilege           Profile single process                                             Enabled
SeIncreaseBasePriorityPrivilege           Increase scheduling priority                                       Enabled
SeCreatePagefilePrivilege                 Create a pagefile                                                  Enabled
SeCreatePermanentPrivilege                Create permanent shared objects                                    Enabled
SeBackupPrivilege                         Back up files and directories                                      Disabled
SeRestorePrivilege                        Restore files and directories                                      Disabled
SeShutdownPrivilege                       Shut down the system                                               Disabled
SeDebugPrivilege                          Debug programs                                                     Enabled
SeAuditPrivilege                          Generate security audits                                           Enabled
SeSystemEnvironmentPrivilege              Modify firmware environment values                                 Disabled
SeChangeNotifyPrivilege                   Bypass traverse checking                                           Enabled
SeUndockPrivilege                         Remove computer from docking station                               Disabled
SeManageVolumePrivilege                   Perform volume maintenance tasks                                   Disabled
SeImpersonatePrivilege                    Impersonate a client after authentication                          Enabled
SeCreateGlobalPrivilege                   Create global objects                                              Enabled
SeTrustedCredManAccessPrivilege           Access Credential Manager as a trusted caller                      Disabled
SeRelabelPrivilege                        Modify an object label                                             Disabled
SeIncreaseWorkingSetPrivilege             Increase a process working set                                     Enabled
SeTimeZonePrivilege                       Change the time zone                                               Enabled
SeCreateSymbolicLinkPrivilege             Create symbolic links                                              Enabled
SeDelegateSessionUserImpersonatePrivilege Obtain an impersonation token for another user in the same session Enabled

从输出中可以看出，该进程现在正在作为 System.

从新命令提示符启动的任何程序都将继承所选的标识。如果你例如启动 RegEdit，您现在将运行 RegEdit 作为系统，这将显示本地管理员帐户不可见的隐藏注册表项。

警告！权限提升

需要注意的一件事是，TokenSnatcher 将允许您窃取系统上运行的进程的任何身份（令牌）。 这包括您的管理员同事的身份：

在我运行 TokenSnatcher 的系统上，您可以看到 Jolene 正在运行 PowerShell，Joe 正在运行 MMC（在本例中为 AD 用户和计算机），Jill 正在运行命令提示符。

我现在可以简单地（且仅）窃取他们的凭据，因为我是本地系统管理员（不需要其他任何东西）。

等等！！！这是否意味着：

• 您可以窃取域管理员的身份吗？ 是
• 被盗的凭据是否可以用来在 Active Directory 中搞乱？ 是
• 您可以使用被盗的身份远程访问其他服务器吗？ 是

天哪……！真的很可怕！！！

如果您思考几秒钟，您就会明白为什么永远不应该允许较低级别的管理员成为较高级别管理员（或服务）正在运行程序的系统上的本地系统管理员 。

Windows 安全性的这一方面经常被忽视！

需要进行大量深思熟虑的规划才能避免管理员在大型复杂网络中遭受身份盗窃！

仅供参考，TokenSnatcher 仅使用标准的、公开可用的 Windows API 调用。有创意吗？一定！但这里没有发生任何有趣的事情或未记录的漏洞。

技术深度探讨

如果您确实想深入了解 TokenSnatcher、处理令牌和安全身份继承的技术细节，请观看此视频：

该视频对 Windows 操作系统上的权限升级背后的理论进行了技术演练。

在理论之后，您将看到 TokenSnatcher 的演示。点击这里直接进入演示。

视频中的信息将为您的下一次安全团队会议提供良好的输入！ ?

下载TokenSnatcher

在下载并运行 TokenSnatcher 之前，请务必阅读并理解上述所有信息。

免责声明：本文中介绍的软件按原样提供。完全由您自行决定使用。

下载TokenSnatcher