这篇博闻将叙述访问令牌实际操作的定义，及其怎样对于winlogon应用这类技术。从管理人员前后文模拟系统访问令牌。该技术能够在 MITRE ATT&CK 技术架构中的 访问令牌实际操作 中寻找。

在根据组策略从当地管理人员账号中撤消一些权利的状况下，模拟系统访问令牌十分有效。比如，能够从当地管理人员组里删掉SeDebugPrivilege，以使 *** 攻击更难转储凭证或与别的过程的运行内存开展互动。可是，不可以从系统软件账号注销权利，由于电脑操作系统必须这种权利才可以运作。这促使系统软件访问令牌针对结构加固自然环境中的 *** 攻击十分有使用价值。

在详细介绍了访问令牌实际操作的定义以后，我将展现怎么使用系统软件访问操纵目录(SACL)来财务审计过程目标来检验故意的访问令牌实际操作。这类检验的一个缺陷是防御者务必积极地掌握什么过程是访问令牌实际操作的总体目标。

最终，我将讨论别的过程中，他们的访问令牌能够像winlogon.exe一样被仿真模拟。我表述了发觉这种过程身后的方式，及其我还在此全过程初中到的物品。

窃取访问令牌

留意:假如你了解访问令牌实际操作并期待深入分析检索可以仿真模拟访问令牌的备用系统过程身后的方式，请绕过这节。

能够应用下列 Windows API 启用来窃取和乱用访问令牌: OpenProcess(), OpenProcessToken(), ImpersonateLoggedOnUser() , DuplicateTokenEx(), CreateProcessWithTokenW()。

应用 Windows API 窃取访问令牌

OpenProcess()接纳一个过程标志符(PID)并回到一个过程句柄。务必应用PROCESS_QUERY_INFORMATION、PROCESS_QUERY_LIMITED_INFORMATION或PROCESS_ALL_ACCESS访问管理权限开启过程句柄，才可以应用OpenProcessToken()。

MSDN 文本文档中对于 OpenProcess的表明

OpenProcessToken()接纳一个过程句柄和一个访问管理权限标示做为键入主要参数。它将开启与过程关系的访问令牌的句柄。务必应用TOKEN_QUERY和TOKEN_DUPLICATE访问管理权限开启令牌句柄，才可以在ImpersonateLoggedOnUser()中应用。此外，能够应用DuplicateTokenEx()开启令牌句柄，仅有TOKEN_DUPLICATE访问管理权限能够应用。

MSDN 文本文档中对于OpenProcessToken的表明

根据OpenProcessToken()的令牌句柄，我们可以应用ImpersonatedLoggedOnUser()来容许当今进程仿真模拟另一个登陆客户。在启用RevertToSelf()或进程撤出以前，进程将再次仿真模拟登陆客户。

MSDN 文本文档在针对 ImpersonateLoggedOnUser 的表明

如果我们想以另一个客户的真实身份形成一个过程，大家务必在 OpenProcessToken()的結果令牌句柄上应用 DuplicateTokenEx()来建立一个新的访问令牌。 务必应用 TOKEN_ADJUST_DEFAULT TOKEN_ADJUST_SESSIONID, TOKEN_QUERY, TOKEN_DUPLICATE 和TOKEN_ASSIGN_PRIMARY 访问管理权限来启用 DuplicateTokenEx() ，才可以应用 CreateProcessWithTokenW()。 根据DuplicateTokenEx()建立的访问令牌能够传送给CreateProcessWithTokenW()，进而应用拷贝的令牌形成一个过程。

MSDN 文本文档中针对 DuplicateTokenEx 的表明

MSDN 文本文档中针对 CreateProcessWithTokenW 的表明

我撰写了一小段编码来演试这一点，绝大多数编码都参照于kondencuotas写的本文中有关关键令牌实际操作的內容。

在我的检测中应用的编码能够在这儿寻找:

应用 winlogon.exe 升級到系统软件管理权限

2020年稍早， Nick Landers 提及一个简易的方式能够将当地管理人员提高到 NT AUTHORITY\\SYSTEM。

做为当地管理人员(在高一致性前后文中) ，你能窃取 winlogon.exe 的访问令牌，便于在当今进程中仿真模拟 SYSTEM 或以 SYSTEM 管理权限形成新过程。

从 winlogon.exe 中窃取SYSTEM令牌

检验

访问操纵目录(ACL)是访问操纵项(ACE)的目录。 ACL 中的每一个 ACE 标志了一个受信者，并且为该受信者特定容许、回绝或财务审计的访问管理权限。 安全性目标的安全性描述符能够包括二种种类的 ACL: DACL 和 SACL。 (材料来源于)

大家的检验将根据系统软件访问操纵目录(SACL)。 我们可以运用 SACL 来解决目标，以纪录对 Windows 安全性日志的取得成功或不成功访问试着。

我们可以应用 James Forshaw 的 NtObjectManager 轻轻松松地完成这一点。 下边的绝大多数工作中很多取材于 James Forshaw 的 *** 文章：绕开 SACL 财务审计 LSASS ，能够点一下这儿查询。 他的博闻让你很好地了解了 SACL，及其他们是怎样被 NtObjectManager 控制的。

auditpol /set /category:"Object Access" /success:enable /failure:enable

$p=Get-NtProcess -name winlogon.exe -Access GenericAll,AccessSystemSecurity

Set-NtSecurityDescriptor $p “S:(AU;SAFA;0x1400;;;WD)” Sacl