windows会话劫持

falldog

　　更新一波：
　　
Jumbo师傅向我推荐了几个地址，发现还是能模拟(劫持?)用户会话然后创建进程，也就进而可以获取到其他会话挂载到3389的磁盘.

　　工具下载：https://github.com/l3m0n/pentest_tools/blob/master/%E5%86%85%E7%BD%91%E6%94%BB%E9%98%B2/%E8%BF%9C%E7%A8%8B%E8%BF%9E%E6%8E%A5/RunInSession.zip
　　原理：
　　

可以通过https://msdn.microsoft.com/en-us/library/aa383840.aspx　　
WTSQueryUserToken函数获取指定id的token
　　
然后利用https://msdn.microsoft.com/en-us/library/ms682429.aspx
　　
CreateProcessAsUser函数去创建进程
　　

　　参考文章：
　　
https://www.remkoweijnen.nl/blog/2007/11/08/how-to-launch-a-process-in-a-terminal-session-2/
　　
http://www.cnblogs.com/killbit/p/5208598.html
　　哇…国外友人写文章也有点标题党的意思啊，本来不想记录的..但是毕竟还是验证了..那就纪录一下，个人感觉是没多大用.
　　windows在登陆后也是有一个session在维持的，如果有system权限的话就可以去登陆其他在线的用户(3389登陆进来的用户)
　　它这个实际就是3389上有两个用户活动(断开状态也算)，我们可以在不知道另一个用户密码的时候切换到他的窗口
　　危害：

• 劫持域管理员会话
  
• 获取未保存的文件
  
• 其他用户的应用程序纪录，也可能可以获取到远程用户的网络映射(实际上扯蛋)
  

　　3389有一个功能是可以将客户端的磁盘映射到服务器上，所以如果我能利用这个会话获取到客户端的文件的话，这个还是挺有价值的..但是可惜只是可能，暂时没想到一个方法去测试。所以目前看到的也就是劫持域管理员的会话算是有点小用吧，＝。＝，虽然可以用mimikatz抓取密码.
　　1、psexec
　　
正常低权限的时候：
　　

　　提升到system权限，再次执行
　　

psexec -s \\localhost cmd　　

　　
切换到会话1
　　
tscon 1
　　

　　2、利用服务(可不需要system权限)
　　

其中tscon后面的1是想切换过去的id，dest后是当前的会话名　　
sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:console"
　　

　　
net setart sesshijack
　　

win7-psexec　　
https://www.youtube.com/watch?v=VytjV2kPwSg&feature=youtu.be
　　

　　
win12-command
　　
https://www.youtube.com/watch?v=OgsoIoWmhWw
　　

　　原文：http://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html