内网渗透-Windows令牌假冒

访问令牌（Access Token）是Windows操作系统用于描述进程或线程安全上下文的一种对象。不同的用户登录计算机后， 都会生成一个Access Token，这个Token在用户创建进程或者线程时会被使用，不断的拷贝。

系统使用访问令牌来辨识拥有进程的用户，以及线程试图执行系统任务时是否具有所需的特权。

windows下的两种令牌：

Delegation token(授权令牌):用于交互会话登录(例如本地用户直接登录、远程桌面登录)
Impersonation token(模拟令牌):用于非交互登录(利用net use访问共享文件夹)

两种令牌都是在重启后才会消除，具有Delegation token的用户在注销后，该Token将变成Impersonation token，依旧有效

利用Metasploit的incognito模块令牌假冒

load incognito 加载模块
list_tokens 列举token，-u参数列举用户，-g参数列举用户组
impersonate_token [token] 令牌假冒登录用户

在msf session下执行load incognito加载模块，执行help查看模块

list_tokens -u 列举token

发现了TEST域中管理员的token，执行impersonate_token TEST\\Administrator假冒令牌登录，注意这里要双斜杠
成功窃取令牌登录域管账号

利用steal_token从进程窃取令牌

利用用户启动的进程来窃取令牌登录，这里随便选用pid 4316进行测试，这是TEST/test1启动的
执行命令steal_token 4316

从进程窃取令牌成功

返回原来的用户：rev2self或者drop_token