He estado luchando para que la suplantación de tokens funcione en Empire 2.0.
Utilizo el módulo de credenciales / mimitokens para enumerar y elevar para usar un token de usuarios específicos. Veo la salida de mimikatz que dice que el token está suplantado, pero el uso de información sobre el agente aún muestra mi usuario anterior, y el shell whoami también muestra mi usuario antiguo.
Si luego uso el módulo / credenciales / tokens y configuro WhoAmI en verdadero, se muestra al usuario suplantado como el usuario, lo que es bueno, pero he estado luchando para lograr que genere un proceso cmd.exe para ver si se usa Los credos suplantados.
He mirado mucho alrededor, y no parece haber demasiada explicación para las opciones aquí. Cualquier ayuda sería muy apreciada! Puedo obtener el mensaje "ejecutar como Dominio \ Chris" desde steal_token, pero, una vez más, no estoy seguro de qué es exactamente lo que se está ejecutando como Chris como shell whoami y la información aún muestra al usuario anterior.
Esperaba que funcionara como una incógnita en meterpreter y que el agente ahora se estuviera ejecutando como usuario suplantado, pero este no parece ser el caso. ¿Utiliza solo las credenciales para los comandos de red?
Por lo que puedo decir de usar el módulo / credentials / mimikatz / command y luego configurar el comando para:
tokens::elevate /user:Chris
se hace pasar por el usuario, pero tan pronto como se ejecuta el comando, se interrumpe el proceso, por lo que no puedo usar:
process::start cmd.exe
o cualquier cosa para luego usar las credenciales suplantadas. Aunque podría estar malinterpretando algo aquí.