Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
中文
Entry № 1162

令牌冒用(Token Impersonation)

令牌冒用(Token Impersonation) 是什么?

令牌冒用(Token Impersonation)Windows 上的提权技术(MITRE ATT&CK T1134),攻击者复制现有访问令牌并以另一用户的身份执行代码。

令牌冒用滥用 Windows 的令牌模型——每个线程可以携带一个访问令牌,用以定义其执行身份。攻击者通过 OpenProcessToken、DuplicateTokenEx、ImpersonateLoggedOnUser(或 SetThreadToken)等 API,并具备足够权限(通常是 SeImpersonatePrivilege、SeAssignPrimaryToken 或 SeDebugPrivilege),即可窃取更高权限的令牌(例如属于 services.exe 的 SYSTEM 令牌)并以该身份生成新进程。Cobalt Strike 的 steal_token、Metasploit 的 incognito 模块以及 Mimikatz 的 token::elevate 均可自动化该技术。ATT&CK 将其归类为 T1134 Access Token Manipulation,并细分为 Make and Impersonate Token、Create Process with Token 与 Parent PID Spoofing。检测重点是 Sysmon Event 1/10 中的异常以及 4673/4624 与 token-id 的关联。

示例

  1. 01

    在以 SYSTEM 运行的进程上使用 Cobalt Strike 的 steal_token,以 NT AUTHORITY\SYSTEM 身份启动 cmd.exe。

  2. 02

    获得 SeDebugPrivilege 后,通过 Mimikatz token::elevate 冒用 LSASS 的令牌。

常见问题

令牌冒用(Token Impersonation) 是什么?

Windows 上的提权技术(MITRE ATT&CK T1134),攻击者复制现有访问令牌并以另一用户的身份执行代码。 它属于网络安全的 身份与访问 分类。

令牌冒用(Token Impersonation) 是什么意思?

Windows 上的提权技术(MITRE ATT&CK T1134),攻击者复制现有访问令牌并以另一用户的身份执行代码。

令牌冒用(Token Impersonation) 是如何工作的?

令牌冒用滥用 Windows 的令牌模型——每个线程可以携带一个访问令牌,用以定义其执行身份。攻击者通过 OpenProcessToken、DuplicateTokenEx、ImpersonateLoggedOnUser(或 SetThreadToken)等 API,并具备足够权限(通常是 SeImpersonatePrivilege、SeAssignPrimaryToken 或 SeDebugPrivilege),即可窃取更高权限的令牌(例如属于 services.exe 的 SYSTEM 令牌)并以该身份生成新进程。Cobalt Strike 的 steal_token、Metasploit 的 incognito 模块以及 Mimikatz 的 token::elevate 均可自动化该技术。ATT&CK 将其归类为 T1134 Access Token Manipulation,并细分为 Make and Impersonate Token、Create Process with Token 与 Parent PID Spoofing。检测重点是 Sysmon Event 1/10 中的异常以及 4673/4624 与 token-id 的关联。

如何防御 令牌冒用(Token Impersonation)?

针对 令牌冒用(Token Impersonation) 的防御通常结合技术控制与运营实践,详见上方完整定义。

令牌冒用(Token Impersonation) 还有哪些其他名称?

常见的别称包括: 访问令牌操纵, T1134。

相关术语