{"id":449,"date":"2007-12-30T19:18:09","date_gmt":"2007-12-30T17:18:09","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/449-24c3-one-token-to-rule-them-all"},"modified":"2018-05-31T16:41:47","modified_gmt":"2018-05-31T15:41:47","slug":"24c3-one-token-to-rule-them-all","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/449-24c3-one-token-to-rule-them-all","title":{"rendered":"24C3: One Token to Rule Them All"},"content":{"rendered":"<p>Post-Exploitation, d.h. die effiziente Datensammlung von gehackten Systemen wird immer wichtiger, da in den n\u00e4chsten Jahren insbesondere bei Windows weniger L\u00fccken und Exploits zu erwarten sind. Luke Jennings hat sich <a href=\"http:\/\/events.ccc.de\/congress\/2007\/Fahrplan\/events\/2235.en.html\">in seinem Vortrag<\/a> (bereits <a href=\"http:\/\/www.dc414.org\/download\/confs\/defcon15\/Speakers\/Jennings\/Presentation\/dc-15-jennings.pdf\">auf der Defcon 15 gehalten<\/a> (PDF)) daher mit <a href=\"http:\/\/technet2.microsoft.com\/WindowsServer\/en\/Library\/9364c4b8-38a0-4aa5-b1d7-c9b42cb4df941033.mspx\">Windows Access Token<\/a> besch\u00e4ftigt. Diese Token werden von Windows f\u00fcr praktisch alles verwendet, angefangen von Zugriffsrechten auf Dateien bis hin zu den Rechten mit denen Prozesse gestartet werden und ob sich ein Benutzer anmelden darf.<\/p>\n<p>Mit einem fremden Token sind daher interessante Angriffe m\u00f6glich, vom Datendiebstahl \u00fcber Impersonation bis zur lokalen und domainweiten Rechteeskalationen. In \u00e4lteren (nicht gepatchten) Windows Systemen gibt es dar\u00fcber hinaus einen Fehler, dass solche Token nicht komplett gel\u00f6scht werden wenn sich ein Benutzer abmeldet. Dieses Token kann mit speziellen Tools wiedergefunden und genutzt werden.<\/p>\n<p>Die Programme <em>find_user<\/em> und <em>incognito<\/em> sind von Luke ver\u00f6ffentlicht worden und kann entweder von der <a href=\"http:\/\/www.dc414.org\/download\/confs\/defcon15\/Speakers\/Jennings\/Extras\/\">Milwaukee Area Defcon Group<\/a> oder von <a href=\"http:\/\/sourceforge.net\/projects\/incognito\/\">SourceForge<\/a> heruntergeladen werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Post-Exploitation, d.h. die effiziente Datensammlung von gehackten Systemen wird immer wichtiger, da in den n\u00e4chsten Jahren insbesondere bei Windows weniger L\u00fccken und Exploits zu erwarten sind. Luke Jennings hat sich in seinem Vortrag (bereits auf der Defcon 15 gehalten (PDF)) daher mit Windows Access Token besch\u00e4ftigt. Diese Token werden von Windows f\u00fcr praktisch alles verwendet, [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13,8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/449"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=449"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/449\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=449"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=449"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=449"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}