.NET 本地提权，通过系统进程令牌模拟实现权限提升

在 Windows 权限体系中，令牌是一个至关重要的安全对象。它用于标识当前进程或线程所拥有的权限集合，包括用户身份、安全组、特权信息以及访问控制策略等。换句话说，操作系统中的每一个进程，都在令牌的约束下运行。

正因为令牌承载了权限信息，攻击者如果能够劫持高权限进程的令牌，便能绕过传统的权限边界，直接获得相应级别的控制权。在渗透测试和红队演练中，这种技术被称为令牌模拟，往往是从普通用户提升到 SYSTEM 权限的重要途径之一。

Sharp4TokenImpersonation.exe 正是这样一款针对令牌模拟场景的工具。它的功能非常直接：攻击者指定目标进程的 PID，工具便会提取该进程所携带的令牌，并以此令牌为基础启动一个新的进程。新进程将自动继承目标进程的权限等级，从而完成权限提升。

在 Windows 系统中，最常见的目标进程之一就是 winlogon.exe。这是一个核心系统进程，运行在 NT AUTHORITYSYSTEM 权限下。由于几乎一直存在于系统中，并且权限最高，因此常常成为令牌模拟的首选对象。

Sharp4TokenImpersonation 的使用方式相对简单。以下是一个典型操作流程：

2.1 枚举目标进程

首先通过系统命令 tasklist，列出当前正在运行的进程，具体命令如下所示。

1tasklist

在返回的列表中，可以找到 winlogon.exe 的 PID。例如，此处其进程号为 1200。

2.2 执行令牌模拟

随后，运行以下命令工具会提取进程 1200 的令牌，并基于该令牌启动一个新的命令提示符窗口。

1Sharp4TokenImpersonation.exe 1200 cmd.exe

在新弹出的命令行中，输入 whoami，系统将返回 nt authoritysystem

令牌模拟技术在实战中的意义不言而喻。对于攻击者而言具备以下价值：

• 权限提升：通过窃取高权限进程令牌，快速获得 SYSTEM 级别控制权。

• 横向渗透：在域环境下，模拟特定用户的令牌，可以访问原本受限的网络资源。

• 持久化与隐蔽性：相比直接注入恶意代码，令牌模拟依赖的是系统原生 API，极易规避传统杀毒软件与安全监控。

综上，在红队演练中，令牌模拟往往与凭据窃取、会话劫持等技术结合，形成一条完整的权限提升与横向移动路径。文章涉及的工具已打包在星球，感兴趣的朋友可以加入自取。

尽管令牌模拟的原理依赖于合法 API，但防御者仍然有一些思路来降低风险

最小权限原则：避免让过多服务或程序运行在 SYSTEM 权限下，减少攻击者可利用的目标进程。

进程保护机制：利用 Windows 的 PPL（Protected Process Light）机制，对关键进程进行保护，提升令牌访问难度。

监控与检测：重点关注 CreateProcessWithTokenW 等 API 的调用行为，及时捕捉异常模式。

日志关联分析：将进程创建事件与用户上下文变化进行关联，识别权限突变的可疑行为。

只有结合多层次的检测与管控，才能在第一时间发现并阻止令牌模拟的攻击行为。

免责声明：此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。任何未经授权的网络渗透、入侵或对他人网络破坏的活动而造成的直接或间接后果和损失，均由使用者为自身的行为负责并承担全部的法律和连带责任，与本号及作者无关，请务必遵循相关法律法规。本文所提供的工具仅用于学习和本地安全研究和测试，禁止用于其他方面。

以上相关的知识点已收录于新书《.NET安全攻防指南》，全书共计25章，总计1010页，分为上下册，横跨.NET Web代码审计与红队渗透两大领域。

上册深入剖析.NET Web安全审计的核心技术，帮助读者掌握漏洞发现与修复的精髓；下册则聚焦于.NET逆向工程与攻防对抗的实战技巧，揭秘最新的对抗策略与技术方法。