windows会话劫持

更新一波：
Jumbo师傅向我推荐了几个地址，发现还是能模拟(劫持?)用户会话然后创建进程，也就进而可以获取到其他会话挂载到3389的磁盘.

工具下载：https://github.com/l3m0n/pentest_tools/blob/master/内网攻防/远程连接/RunInSession.zip

原理：

可以通过https://msdn.microsoft.com/en-us/library/aa383840.aspx
WTSQueryUserToken函数获取指定id的token
然后利用https://msdn.microsoft.com/en-us/library/ms682429.aspx
CreateProcessAsUser函数去创建进程

参考文章：
https://www.remkoweijnen.nl/blog/2007/11/08/how-to-launch-a-process-in-a-terminal-session-2/
http://www.cnblogs.com/killbit/p/5208598.html

---

哇…国外友人写文章也有点标题党的意思啊，本来不想记录的..但是毕竟还是验证了..那就纪录一下，个人感觉是没多大用.

windows在登陆后也是有一个session在维持的，如果有system权限的话就可以去登陆其他在线的用户(3389登陆进来的用户)

它这个实际就是3389上有两个用户活动(断开状态也算)，我们可以在不知道另一个用户密码的时候切换到他的窗口

危害：

• 劫持域管理员会话
• 获取未保存的文件
• 其他用户的应用程序纪录，也可能可以获取到远程用户的网络映射(实际上扯蛋)

3389有一个功能是可以将客户端的磁盘映射到服务器上，所以如果我能利用这个会话获取到客户端的文件的话，这个还是挺有价值的..但是可惜只是可能，暂时没想到一个方法去测试。所以目前看到的也就是劫持域管理员的会话算是有点小用吧，＝。＝，虽然可以用mimikatz抓取密码.

1、psexec
正常低权限的时候：

提升到system权限，再次执行

psexec -s \\localhost cmd

切换到会话1
tscon 1

2、利用服务(可不需要system权限)

其中tscon后面的1是想切换过去的id，dest后是当前的会话名
sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:console"

net setart sesshijack

win7-psexec
https://www.youtube.com/watch?v=VytjV2kPwSg&feature=youtu.be

win12-command
https://www.youtube.com/watch?v=OgsoIoWmhWw

原文：http://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html