Буквально на днях вышел один интересный проект GIUDA , который позволяет злоупотреблять сессиями еще одним способом! Представим ситуацию, что у нас есть ЛА на машине, на которую изредка ходит ДА. С помощью этого инструмента можно будет, зная лишь идентификатор логон сессии ДА, запросить TGS на любую службу от его имени. Да, даже не нужно знать его пароля, лезть в LSASS, красть токен, внедряться в процесс и тому подобное и прочее.

Достаточно только LUID👀

Казалось бы, все круто, но проект написан на Pascal😳 (паскаль, лол, мы на нем в школе только писали).

Поэтому я принял решение переписать инструмент на C++, добавив пару фишек:
1. Во-первых, никаких десятков запусков (та тулза требовала, чтобы сначала запустить ее от системы, потом второй раз запустить для перечисления LUID, потом с этим LUID снова запустить, уже указав SPN, тьфу.....) . Один запуск, и TGS в кармане. Мой инструмент автоматически повысится до системы, перечислит LUID (ты должен просто отдать нужный номер logon сессии, из которой нужно запросить TGS), а затем ввести SPN. И все. Готово :000
2. Добавил вывод тикета в base64 и опциональный инжект в логон сессию, из которой был запущен инструмент
3. Из-за моих прямых рук часто криво вводил SPN, добавил валидацию SPN по regex. Дополнительно SPN можно валидировать через InitializeSecurityContext , как я это делал в TGT Delegation .


Итак, прошу любить и жаловать! 🥰

https://github.com/MzHmO/TGSThief