Windows认证

本地认证：本地(个人PC)登录时的认证，安全账户管理(SAM)去验证凭证。

域认证：通过分发的域账户登录工作站并访问内部资源，域控制器(DC)去验证凭证。

认证的形式：物理认证、远程认证

物理认证：用户在目标电脑前输入凭证登录，使用于本地用户和域用户；在AD域中，默认情况下，任何域用户可以物理登录任何域主机。

远程认证：默认情况下需要特定权限才能远程登录，比如 属于本地管理员分组、远程桌面用户分组。

AP/SSP：通过分析登录数据来认证windows用户，它以DLL形式存在，已知常见的AP/SSP有：NTLM、Kerberos、WDigest

AP：可以理解为一个接入点，为客户端和认证服务器提供了所需逻辑。

对客户端来讲，要通过windows认证并连接到特定服务；

对服务器来讲，让服务或应用程序支持windows认证

SSP接口：使得应用程序与认证系统可以无缝继承。

应用层←→SSPI层←→SSP层

SSPI：用于安全包管理、凭证管理、安全上下文管理、消息支持。

交互式登录VS非交互式登录：交互式：在登录界面输入密码登录；非交互：发生在交互式之后，有缓存凭证的时候。

登录会话：在认证成功后建立的，同时会向LSA提供用户的安全信息

令牌：登录会话创建后，向LSA提供的信息，就会被用于创建一个访问令牌；其包含了一个认证用户的本地安全上下文。每个 访问令牌 被绑定给一个 登录会话。

其内容包括：用户SID，用户组归属，会话ID，令牌类型等。

分类：主要令牌、模仿令牌

用户模仿

创建或劫持另一个用户的安全上下文以在网络中代表这个用户。

创建的话，需要凭证；劫持的话，需要特权

用户模仿实现途径：

令牌操纵：

SharpToken工具，在本地管理员或SYSTEM权限下，列举可用令牌并窃取

Cobalt strike的内置命令steal_token也可实现窃取

进程注入实现

密码

NT哈希

Kerberos票据等

有明文密码

有明文密码时实现用户模仿，用runas.exe工具，具体的我不知晓

有NT哈希

获取了NTLM哈希时实现用户模仿

1.用Mimikatz完成基于LSA的哈希传递

2.使用协议工具如，Impacket、CrackMapExec等

有Kerberos票据

如果是与LSA交互：

将票据导入到当前会话不需要特权，导入到其他会话是要的

PTK：即票据传递，将其他用户的Kerberos票据（得到或伪造的），导入到攻击者所控制的登录会话技术。工具Rubeus

如果在低权限情况下导入呢，可以用make_token(cs内置命令)创建一个新的登录会话，导入票据防止覆盖原有TGT

高权限下，先 创建一个牺牲进程，导入票据；因为一个登录会话每次只能有一张TGT。将票据导入到该牺牲会话后，窃取令牌或在该进程 注入载荷。