vCenter 获取Windows锁屏机器Hash

前言：这边记录vCenter获取Windows锁屏机器Hash的几种方法

参考文章：https://jamescoote.co.uk/Dumping-LSASS-with-SharpShere/
参考文章：https://3gstudent.github.io/渗透技巧-从VMware-ESXI横向移动到Windows虚拟机
参考文章：https://flings.vmware.com/vmss2core

横向移动ESXI dump vmem内存快照

默认esxi的ssh服务是没有开启的，默认ssh连接会被拒绝，如下图所示

通过administrator@vsphere.local登录vCenter 5480端口开启SSH和Bash模式，然后进行登录vCenter的ssh服务，默认sso-user具有无限制sudo的权限，所以这边可以通过该用户来直接获取ESXI上面的账号和密码

这边需要注意下可能会遇到下面这个问题，shell模块被禁用

这里的话就需要5480端口开启Bash模式，如下图所示

这边大家可能会遇到一个问题当我用mdb数据库伪造进的后台拿到的administrator@vsphere.local的权限，但是又不知道密码，如何设置5480呢？这边的话自己再创建一个用户，然后将该用户拉入到administrators组里面即可进行登录vCenter 5480的管理后台了，如下图所示

此时重新回车shell就可以使用该shell功能了，如下图所示

接着参考网上的文章用脚本来解密出ESXI的密码即可，这边解密下ESXI的密码，如下图所示

这边接着通过vCenter找到ESXI的服务器可以开启对应的SSH服务，如下图所示

然后对ESXI进行SSH连接

接着在vCenter找到对应的win2016机器进行内存快照，如下图所示

来到ESXI机器上面找到/vmfs/volumes/65146036-13dd57f4-d028-000c296b2a96/test，因为我这边创建的时候该机器名是test，所以内存的快照在这个目录，如下图所示

./volatility_2.6_lin64_standalone -f test-Snapshot9.vmem --profile="Win2016x64_14393" filescan |grep SYSTEM

./volatility_2.6_lin64_standalone -f test-Snapshot9.vmem --profile="Win2016x64_14393" filescan |grep SECURITY

但是这边看了下/tmp/目录发现比较奇怪的问题，没有相关的输出文件，这个问题只能先放着了

挂载VMDK

挂载VMDK的话，这边我这边前提是已经拿到了ESXI里面的一台windows机器，然后我将要dump的机器的VMDK挂载到当前已经拿下的Windows机器上面进行dump hash

这边一共两台机器，一台test2作为被dump hash的机器，一台test3机器作为已经被攻击者拿下的机器（能够进行rdp操作，也就是知道密码可以进行登录），情况如下图所示

接着给test2机器进行克隆，我这边定义test2克隆的机器为test2-clone

然后给test3机器添加硬盘挂载vmdk，这边的vmdk的地址就是上面test2克隆的vmdk的文件路径，如下图所示

添加硬盘 -> 现有硬盘

选择test2机器克隆中的vmdk文件

接着进入test3机器中执行diskmgmt.msc，鼠标右键脱机的磁盘，联机挂载磁盘，如下图所示

此时再看该磁盘的状态，就已经是联机状态了，如下图所示

再看该test3机器，可以看到多出了一个E磁盘，如下图所示

接下来就是正常的dump hash的操作了，将下面的文件下载到本地

C:\Windows\NTDS\NTDS.dit （如果是DC机器的话）
C:\Windows\System32\config\SYSTEM
C:\Windows\System32\config\SAM

我这边的话直接用net use将对方test3挂载的新磁盘中的文件sam system复制，如下图所示

最后进行本地解密操作，如下图所示

python3 secretsdump.py -sam sam -security security -system system LOCAL

这边在目前机器上也是可以解密的，如下图所示

后续发现可以用通过vcenter的webservice api同样可以连接esxi机器对其进行操作，这边如下所示

 Commands
===============
    Commands    Description
    --------    -----------
    shell       command
    upload      source destination
    download    source destination
 
====================== =============================== =========
Starting upload of 'C:\Users\user\Desktop\2.exe' to 'c:\1.exe'...
 
Uploaded 'C:\Users\user\Desktop\2.exe' to 'c:\1.exe' on the guest

windbg mimikatz解析内存lsass

参考文章：https://flings.vmware.com/vmss2core

把要dump hash的机器先进行快照，接着进入对应快照所在文件夹，下载.vmsn和.vmem 文件

然后将其转成dmp格式，这边生成memory.dmp

虚拟机win7的命令 vmss2core.exe -W win7x64-Snapshot1.vmsn win7x64-Snapshot1.vmem

虚拟机win8以上 vmss2core.exe -W8 win8x64-Snapshot1.vmsn win8x64-Snapshot1.vmem

接着使用WinDbg的Crash Dump功能，这边启动WinDbg-->File-->Open Crash Dump-->选择memory.dmp

最后加载 mimikatz 模块

 kd> .load C:Users John\Desktop\mimilib.dll
kd> !process 0 0 lsass.exe
kd> .process /r /p fffffa8@83a897c8
kd> !mimikatz

posted @ 2023-10-12 11:01 zpchcbd 阅读(643) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· ESXI的SSH和Shell模式和扩容和vCenter密码忘记找回

· 通过VCSA搭建vCenter Server和vCenter漏洞调试

· 内网渗透导出HASH总结

· vCenter学习笔记

· |NO.Z.00005|——————————|^^^^ 构建 ^^^^|——|Cloud&Vcent$Exsi.V7.0.V02|

记录部分个人学习和部分实战的笔记我会慢慢补全部分空白的文章 :)

vCenter 获取Windows锁屏机器Hash

横向移动ESXI dump vmem内存快照

挂载VMDK

windbg mimikatz解析内存lsass

我的标签

随笔档案

博客友链

	Commands
	===============
	Commands Description
	-------- -----------
	shell command
	upload source destination
	download source destination

	====================== =============================== =========
	Starting upload of 'C:\Users\user\Desktop\2.exe' to 'c:\1.exe'...

	Uploaded 'C:\Users\user\Desktop\2.exe' to 'c:\1.exe' on the guest

	kd> .load C:Users John\Desktop\mimilib.dll
	kd> !process 0 0 lsass.exe
	kd> .process /r /p fffffa8@83a897c8
	kd> !mimikatz

记录部分个人学习和部分实战的笔记 我会慢慢补全部分空白的文章 :)

vCenter 获取Windows锁屏机器Hash

横向移动ESXI dump vmem内存快照

挂载VMDK

windbg mimikatz解析内存lsass

我的标签

随笔档案

博客友链

记录部分个人学习和部分实战的笔记我会慢慢补全部分空白的文章 :)