Impero Powershell - Impersonificazione dei token

3

Ho faticato a cercare di ottenere che la rappresentazione simbolica funzionasse in Empire 2.0.

Uso il modulo credenziali / mimitokens per elencare ed elevare l'utilizzo di un token utente specifico - Vedo l'output di mimikatz che dice che il token è impersonato, ma l'utilizzo di informazioni sull'agente mostra ancora il mio vecchio utente e shell whoami mostra anche il mio vecchio utente.

Se poi utilizzo il modulo / credenziali / token e imposta WhoAmI su true, l'utente rappresentato come utente è buono, ma ho avuto difficoltà a farlo generare un processo cmd.exe per vedere se esso utilizza i creduloni impersonati.

Mi sono guardato molto in giro, e qui non sembra esserci troppa spiegazione per le opzioni. Qualsiasi aiuto sarebbe molto apprezzato! Posso ottenere il messaggio "Esegui come dominio \ Chris" da steal_token - ma ancora una volta, non sono sicuro di cosa sia esattamente in esecuzione come Chris come shell whoami e info mostrano ancora il vecchio utente?

Speravo che funzionasse come in incognito in meterpreter e che l'agente sarebbe ora in esecuzione come utente impersonato, ma questo non sembra essere il caso. Utilizza solo i crediti per i comandi di rete?

Da quello che posso dire di usare il / credentials / mimikatz / modulo di comando e quindi di impostare il comando su:

tokens::elevate /user:Chris 

impersona l'utente, ma non appena viene eseguito il comando rilascia il processo quindi non posso quindi utilizzare:

process::start cmd.exe

o qualsiasi cosa per poi utilizzare le credenziali rappresentate. Comunque potrei fraintendere qualcosa qui.

    
posta user3046771 02.06.2017 - 15:59
fonte

1 risposta

0

process::start avvierà il processo nel contesto del thread del processo, prova a usare token::run cmd.exe

    
risposta data 22.06.2018 - 17:10
fonte

Leggi altre domande sui tag