Token Impersonation
Windows 관리자 그룹/System 계정은 SeDebugPrivilege 권한을 가집니다. 이 권한은 다른 사용자의 프로세스를 디버깅 할 수 있으므로 자신이 실행한 프로세스가 아니더라도 ps 명령어로 열거할 수 있습니다.
Cobalt Strike처럼 내장된 토큰 탈취 기능이 있을 경우 프로세스 인젝션을 하지 않고도 해당 프로세스의 토큰을 탈취하여 클라이언트 가장이 가능합니다.
Abuse
# 프로세스 열거
ps
# PID를 통해 사용자 토큰 탈취 및 가장
token-store steal 1590
Last updated
Was this helpful?