获取vCenter锁屏主机hash
○ 前言
○ 获取锁屏机器hash
◇ 克隆机器
◇ KonBoot引导
◇ 挂载vmdk
◇ 抓取内存快照hash
◇ PE系统绕过
○ 总结
○ 参考
○ 声明
前言
NO.1
在参加攻防演练的时候遇到了很多次vCenter,获取到vCenter的shell之后,往往会进一步获取ESXI和vCenter的web权限。
但是在攻防演练的时候,ESXI或vCenter中的机器很多都是锁屏状态的,需要密码才可以进去
那么在不知道密码的情况下如何进入锁屏机器呢?结合自身实战经验并对网上的方法总结整理,在本地搭建环境测试,总结了以下几个方法。
获取锁屏机器hash
NO.2
克隆机器
在实战过程中,抓取机器的hash,难免会有重启或关机等操作,为了不影响客户的业务,更为了安全起见,所有操作都是针对克隆的机器进行的。
克隆机器的详细步骤如下:
点击 ‘操作’ –> ‘克隆’ –> ‘克隆到虚拟机’
填写虚拟机名称,一直下一步即可
成功克隆一个机器
KonBoot引导
通过加载KON-BOOT镜像文件绕过密码登录进入操作系统
https://kon-boot.com/注意:此方法需要重启机器
上传kon-boot的iso镜像文件到vCenter存储中
选择克隆主机,点击 ‘操作’ –> ‘编辑设置’
在’虚拟硬件’中’网络适配器1*’勾选’连接’
选择’CD/DVD驱动器1*’,’CD/DVD介质’点击’浏览’,选择上传的iso镜像
在’虚拟机选项’–> ‘引导选项’中勾选’下次引导期间强制进入BIOS设置屏幕’
然后重启机器,进入BIOS页面。选择’Boot’,把’CD-ROM Drive’移到最上面,按F10退出即可。
先移动到’CD-ROM Drive’,再’Shift++’即可向上移动
yes,回车
等待目标机器重启
开机之后这样,发现还要密码
直接回车即可进入系统
进入系统之后,在vCenter页面,修改挂载的iso文件
这里挂载的iso文件是自己制作的iso,里面包含有抓密码的工具
挂载好之后,虚拟机会弹出一个框
打开即可看到我们的工具
以管理员方式运行cmd,导出sam和system文件
用mimikatz解密
拿这个密码去登录原主机即可
注意:在实战中直接上传一个真实的ISO镜像文件不太方便,我们往往只需要某一个工具,这种情况下,我们可以把需要的文件制作成一个ISO镜像
挂载vmdk
新建虚拟机或者找一台可控虚拟机挂载克隆后虚拟机的vmdk
注意:这个过程中虚拟机要关机,开机状态机器的vmdk是锁定的
查看克隆机器的磁盘文件位置,在’编辑设置’ –> ‘硬盘1’中
然后再编辑设置一台可控的机器,在’虚拟硬件’中’添加新设备’,点击’现有硬盘’
选择克隆的虚拟机的vmdk
进入可控机器
执行’diskmgmt.msc’,右键’联机’
此时就可以正常看到联机挂载的磁盘了
然后将以下文件下载到本地
C:WindowsNTDSNTDS.dit 域环境下才有C:WindowsSystem32configSYSTEMC:WindowsSystem32configSAM
怎么把上述文件下载到本地?
1.禁用客户机操作系统和远程控制台之间的复制和粘贴操作
2.在我们可控的虚拟机上开启共享文件夹
下载到本地之后执行如下命令
# dump 本地 hashpython3 secretsdump.py -sam SAM -system SYSTEM local
注意:利用完成后别忘了取消挂载,去虚拟机设置里面移除该硬盘。
抓取内存快照hash
在vCenter web页面制定目标机器生成快照,在数据存储中找到目标机器快照的’.vmem文件’或者’.vmsn文件’,下载到本地
或者使用’pysharpsphere’对指定目标机器拍摄快照,然后下载到本地
执行命令获取内存镜像的操作系统版本信息
volatility_2.6_win64_standalone.exe -f win7-Snapshot2.vmem imageinfo
执行命令dump hash
# dump hashvolatility_2.6_win64_standalone.exe -f win7-Snapshot2.vmem --profile=Win7SP1x64 hashdump
‘volatility’的用法参考:
https://www.cnblogs.com/junglezt/p/16027761.htmlhttps://www.volatilityfoundation.org/releases
注意:机器快照文件往往很大,实战时网络一般不好,短时间内可能无法把快照文件下载到本地
PE系统绕过
利用PE工具绕过开机密码登录目标操作系统
把制作好的pe镜像上传到vCenter存储中
选中目标虚拟机,编辑设置
在’虚拟硬件’ –> ‘CD/DVD驱动器’处勾选’打开电源时连接’,选择镜像文件
在’虚拟机选项’ –> ‘引导选项’,勾选’下次引导期间强制进入 BIOS 设置屏幕’。
设置完成之后,打开虚拟机,设置引导,进行如下配置。
选择Boot,把’CD-ROM Drive’移到最上面,按’F10’,选择’Yes’退出即可
开机进入PE系统
根据实际情况拷贝以下内容,将PE文件中的工具拷贝到目标磁盘上
# 本地hashC:WindowsSystem32configSYSTEMC:WindowsSystem32configSAM# 如果目标是DC服务器,还可以导出ntds.dit文件读全域hashC:WindowsNTDSNTDS.dit
注意:目标系统在重启之后,原来系统的 C 盘会变更为 D 盘
在PE中无法执行’mimikatz’命令
直接修改系统密码
点击’保存修改’,然后关机
再点击’编辑设置’,在’CD/DVD驱动器’取消勾选’打开电源时连接’
‘虚拟机选项’ –> ‘引导选项’中取消勾选’下次引导期间强制进入 BIOS 设置屏幕’
开机,输入修改后的密码即可进入系统
然后用刚才拷贝的工具和文件解密即可(此处的SAM和SYSTEM文件是修改密码之前的,即原密码文件)
mimikatz.exe "log" "lsadump::sam /sam:SAM /system:SYSTEM" exit将NTML Hash进行解密
https://hashes.com/en/decrypt/hashhttps://www.cmd5.com/
总结
NO.3
实战过程中,vCenter还是比较常见的,如果能拿下vCenter收获往往会很大,但是在测试的时候更需要耐心细心,需要注意以下几点:
1.vCenter,外号小域控,拿下vCenter就可以控制很多机器
2.在操作过程中,难免会有重启、关机等敏感操作,慎重!慎重!慎重!
3.尽量克隆一台机器,在克隆机器上面操作
参考
NO.4
https://jingyan.baidu.com/article/20b68a8852d31f386dec6230.htmlhttps://mp.weixin.qq.com/s/Okxc4CdFRPe82UHN4UXQHQhttps://mp.weixin.qq.com/s/JI3YlyComDViFX31UE8ddAhttps://mp.weixin.qq.com/s/-cEf0bG8j_8VdoSEeMsNGwhttps://mp.weixin.qq.com/s/DbXxm6vWgtL8uGjO_z-ocAhttps://www.cnblogs.com/junglezt/p/16027761.html
声明
NO.5
本文作者:blackwhite
本文编辑:Yusa
感谢 blackwhite 师傅 (๑•̀ㅂ•́)و✧
往期回顾
扫码关注我们
天虞实验室为赛宁网安旗下专业技术团队,重点攻关公司业务相关信息安全前沿技术。
原文始发于微信公众号(天虞实验室):获取vCenter锁屏主机hash
