access token
最短时间来,打算把自己学习的东西都总结一遍,发到博客上面来。
带大家来了解windows访问令牌
0x00 acess token的作用
access token的作用说简单点就是为了系统的安全
0x01 access token 类型
access token 主要分为主令牌和模拟令牌 ,主令牌主要用于交互式的登录的凭证,而模拟令牌主要用户费交互的登录 例如net use 。
Windows有两种类型的Token:
Delegation token(授权令牌):用于交互会话登录(例如本地用户直接登录、远程桌面登录)
Impersonation token(模拟令牌):用于非交互登录(利用net use访问共享文件夹)
注:
两种token只在系统重启后清除
具有Delegation token的用户在注销后,该Token将变成lmpersonation token,依旧有效
0x02 access token 的组成
1.用户账户的安全标识(SID) 2.用户所属组的SID 3.识别当前登录会话的登录SID 4.用户或者用户组所保存的权限牌列表 5.所有者SID 6.主组SID 7.默认的DACL 8.访问令牌的来源 9.令牌是一个主令牌还是模拟令牌 10.限制的SID可选列表 11.当前模拟级别 12.其他统计
sid 全称是security ldentifiers ,是用户唯一身份标识。
0x03 access token 详细
下面采集了一些官网资料
在新版 Windows 中,有两个级别的用户:标准用户和管理员。标准用户是计算机 Users 组的成员;管理员是计算机 Administrators 组的成员。
与以前版本的 Windows 不同,默认情况下标准用户和管理员都会在标准用户安全上下文中访问资源和运行应用程序。任何用户登录到计算机后,系统为该用户创建一个访问令牌。该访问令牌包含有关授予给该用户的访问权限级别的信息,其中包括特定的安全标识符(SID) 信息和 Windows 权限。当管理员登录到计算机时,该版本的 Windows 为该用户创建两个单独的访问令牌:标准用户访问令牌和管理员访问令牌。标准用户访问令牌包含的用户特定信息与管理员访问令牌包含的信息相同,但是已经删除管理 Windows 权限和 SID。标准用户访问令牌用于启动不执行管理任务的应用程序(“标准用户应用程序”)。
当管理员需要运行执行管理任务的应用程序(“管理员应用程序”)时,该版本的 Windows 提示用户将他们的安全上下文从标准用户更改或“提升”为管理员。该默认管理员用户体验称为“管理审核模式”。在该模式下,应用程序需要特定的权限才能以管理员应用程序(具有与管理员相同访问权限的应用程序)运行。
默认情况下,当管理员应用程序启动时,会出现“用户帐户控制”消息。如果用户是管理员,该消息会提供选择允许或禁止应用程序启动的选项。如果用户是标准用户,该用户需要输入一个本地 Administrators 组成员的帐户的密码(若Administrator用户组的用户没有密码则该密码文本框留空)
0x04 窃取令牌
Token是一个用户的身份标识,窃取了Token就伪装了成了该用户
窃取Token需要SYSTEM权限
本机的SYSTEM无所不能,但在工作组或者域环境中窃取令牌的用处较大
在后面内网渗透的令牌窃取当中,会利用到这个 访问令牌,实际上窃取令牌窃取的就是他的sid。我们关于内网渗透怎么窃取令牌,后面会给大家更新。