访问令牌操纵

对手可能会修改访问令牌以在不同用户或系统安全上下文下操作以执行操作并绕过访问控制。Windows使用访问令牌来确定正在运行的进程的所有权。用户可以操纵访问令牌，使正在运行的进程看起来像是属于不同进程的子进程或属于启动进程的用户以外的其他人。当发生这种情况时，进程还会采用与新令牌关联的安全上下文。 对手可以使用内置的Windows API函数从现有进程中复制访问令牌；这称为令牌窃取。这些令牌可以应用于现有进程（即令牌冒充/窃取）或用于生成新进程（即使用令牌创建进程）。对手必须已经处于特权用户上下文（即管理员）才能窃取令牌。然而，对手通常使用令牌窃取将其安全上下文从管理员级别提升到SYSTEM级别。如果账户在远程系统上具有适当权限，对手可以使用令牌作为该账户进行身份验证。(引用: Pentestlab Token Manipulation) 任何标准用户都可以使用runas命令和Windows API函数创建冒充令牌；这不需要访问管理员账户。还有其他机制，如Active Directory字段，可以用来修改访问令牌。