Веселимся с Incognito

Что такое Incognito

 

Incognito это изначально автономное приложение, которое позволяет вам выдавать пользовательские маркеры, при успешной компроментации системы. Он был интегрирован в Metasploit и в конечном счёте в Meterpreter. Больше о Incognito и о том как работают похищенные маркеры вы можете почитать в оригинальном документе. Документ достаточно старый, 2008года, да и это руководство отнюдь не новое. Но позволяет понять сам принцип работы. Может быть этот документ я через время переведу, по мере своих сил и расскажу о чем он.

 

В shell оболочке токены похожи на web куки. Они представляют собой временный ключ который позволит получить доступ к системе и сети без необходимости каждый раз предоставляет учётные данные каждый раз, когда вы имеете доступ к файлу. Эксплоит Incognito используем этот же способ куки для работы по воровству временного ключа который используется при аутентификации. Есть два типа токенов delegate и impersonate. Delegate создаётся для интерактивных входов, таких как вход в машину либо при подключении к ней через удалённый рабочий стол. Impersonate токен используется для не интерактивных сессий таких как присоединение к сетевому диску либо сценарию входа в домен. Читать далее Веселимся с Incognito