Когда делаю pth domain\user1 hash кобальт имперсонейтит другого пользователя.Выводит [+] Impersonated domain\user2. User2 это мой текущий пользователь.Когда пытаюсь сделать через встроенный мимик ,процесс также запускается от user2.Никаких ошибок нет,все зеленое.Как решить?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
C&C pth cobalt
- Автор темы CCod
- Дата начала
pth в кобальте под капотом это и есть мимик, а pth мимика под капотом это на самом деле overpass-the-hash
Как и в случае с runas /netonly или rubeus /createnetonly оно локально вроде и будет писать что ты все еще user2(но tgt тикет user1 у тебя уже будет)
В случае pth кобальта оно создает процесс юзера с хешем который ты ему дал и дальше крадет токен у этого процесса
Сделай klist, у тебя появился тикет от user1?Туда куда user1, но не может user2 ходить можешь?
Если нет, то на каком-то этапе фейлится, но на каком непонятно(ошибок то нет)
Возможно ав, возможно недостаток прав(нужны права локал админа)
p.s
Оптимально будет поднять прокси сервер и работать через него.
Последнее редактирование: