windows会话劫持

更新一波:
Jumbo师傅向我推荐了几个地址,发现还是能模拟(劫持?)用户会话然后创建进程,也就进而可以获取到其他会话挂载到3389的磁盘.

image

工具下载:https://github.com/l3m0n/pentest_tools/blob/master/%E5%86%85%E7%BD%91%E6%94%BB%E9%98%B2/%E8%BF%9C%E7%A8%8B%E8%BF%9E%E6%8E%A5/RunInSession.zip

原理:

可以通过https://msdn.microsoft.com/en-us/library/aa383840.aspx
WTSQueryUserToken函数获取指定id的token
然后利用https://msdn.microsoft.com/en-us/library/ms682429.aspx
CreateProcessAsUser函数去创建进程

参考文章:
https://www.remkoweijnen.nl/blog/2007/11/08/how-to-launch-a-process-in-a-terminal-session-2/
http://www.cnblogs.com/killbit/p/5208598.html


哇…国外友人写文章也有点标题党的意思啊,本来不想记录的..但是毕竟还是验证了..那就纪录一下,个人感觉是没多大用.

windows在登陆后也是有一个session在维持的,如果有system权限的话就可以去登陆其他在线的用户(3389登陆进来的用户)

它这个实际就是3389上有两个用户活动(断开状态也算),我们可以在不知道另一个用户密码的时候切换到他的窗口

危害:

  • 劫持域管理员会话
  • 获取未保存的文件
  • 其他用户的应用程序纪录,也可能可以获取到远程用户的网络映射(实际上扯蛋)

3389有一个功能是可以将客户端的磁盘映射到服务器上,所以如果我能利用这个会话获取到客户端的文件的话,这个还是挺有价值的..但是可惜只是可能,暂时没想到一个方法去测试。所以目前看到的也就是劫持域管理员的会话算是有点小用吧,=。=,虽然可以用mimikatz抓取密码.

1、psexec
正常低权限的时候:
image

提升到system权限,再次执行

psexec -s \\localhost cmd

切换到会话1
tscon 1

2、利用服务(可不需要system权限)

其中tscon后面的1是想切换过去的id,dest后是当前的会话名
sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:console"

net setart sesshijack
win7-psexec
https://www.youtube.com/watch?v=VytjV2kPwSg&feature=youtu.be

win12-command
https://www.youtube.com/watch?v=OgsoIoWmhWw

原文:http://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html


为您推荐了相关的技术文章:

  1. BlackHat 2016 回顾之 JNDI 注入简单解析
  2. 利用 Python 特性在 Jinja2 模板中执行任意代码
  3. 从反序列化到命令执行 - Java 中的 POP 执行链
  4. unserialize() 实战之 vBulletin 5.x.x 远程代码执行
  5. Pwn2Own2017专题:VMWARE UAF漏洞分析

原文链接: www.cnblogs.com