Ho faticato a cercare di ottenere che la rappresentazione simbolica funzionasse in Empire 2.0.
Uso il modulo credenziali / mimitokens per elencare ed elevare l'utilizzo di un token utente specifico - Vedo l'output di mimikatz che dice che il token è impersonato, ma l'utilizzo di informazioni sull'agente mostra ancora il mio vecchio utente e shell whoami mostra anche il mio vecchio utente.
Se poi utilizzo il modulo / credenziali / token e imposta WhoAmI su true, l'utente rappresentato come utente è buono, ma ho avuto difficoltà a farlo generare un processo cmd.exe per vedere se esso utilizza i creduloni impersonati.
Mi sono guardato molto in giro, e qui non sembra esserci troppa spiegazione per le opzioni. Qualsiasi aiuto sarebbe molto apprezzato! Posso ottenere il messaggio "Esegui come dominio \ Chris" da steal_token - ma ancora una volta, non sono sicuro di cosa sia esattamente in esecuzione come Chris come shell whoami e info mostrano ancora il vecchio utente?
Speravo che funzionasse come in incognito in meterpreter e che l'agente sarebbe ora in esecuzione come utente impersonato, ma questo non sembra essere il caso. Utilizza solo i crediti per i comandi di rete?
Da quello che posso dire di usare il / credentials / mimikatz / modulo di comando e quindi di impostare il comando su:
tokens::elevate /user:Chris
impersona l'utente, ma non appena viene eseguito il comando rilascia il processo quindi non posso quindi utilizzare:
process::start cmd.exe
o qualsiasi cosa per poi utilizzare le credenziali rappresentate. Comunque potrei fraintendere qualcosa qui.