4.2 克隆虚拟机法

在这里发现dc机器上锁屏了，而且是winserver2016的机器，那就试试克隆之后，使用cd引导来破除密码啥的，意思就是你电脑关机了，再开机的时候，先把usb或者cd启动，把密码抹掉，类似于我们使用的大白菜装机大师。

4.2.1 kon-boot文件上传

先看下dc机器的位置，把你做好的大白菜u盘（类比的说法而已）传上去，在这里传的是kon-boot的iso文件。

可以从网上下载老版本的：

链接：https://pan.baidu.com/s/14_OP_nePf-HUlkZxzwXkXw
提取码：k32k

思路是：

将KON-BOOT的iso镜像（非常的小）上传到vcenter的某一个磁盘中，克隆虚拟机，将克隆的CD/DVD处镜像更换成KON-BOOT的iso文件，再启动。

在这里选择上传，当前上传的话，有几个说法，一个是需要下载安装vcenter的证书才能上传，否则无权限；另外一个说法是直接上传，如果失败的话，多上传几次。。。

在这里我没安装证书，而是直接上传的，一次就上去了（可能是因为文件很小）

4.2.2 克隆虚拟机

在这里选择克隆到虚拟机：

起个名字，然后放在下面，下一步：

随便放，下一步：

选择存储桶，在这选择刚上传iso文件的镜像，也是dc机器的硬盘，这样拷贝啥的快：

在这里选择克隆选项：

把网卡都取消：

此时就差不多了：

点击finish之后，克隆需要等待一会，因为要复制文件啥的，大概从1分钟到数分钟不等（取决于是什么盘，不知道为啥变成了2012的）

4.2.3 开启机器

在开启之前，编辑设置，对vm虚拟机设置：

添加虚拟机设置，我的没有cd驱动器选项，所以需要添加，如果你有的话，你就不需要添加：（不清楚刚刚的操作出了啥问题，反正检查下，保险点）

开机就会进入bios界面，选择cd优先启动之后，再使用 F10 保存。开机之后，选择启动web控制台：

启动之后，在bios界面，使用+-符号来移动顺序，mac上只能用-来移动，将cd作为第一个，然后f10保存即可。

启动之后会有界面：

到这个界面之后，5下shift进入，也有空密码（相当于置空密码了）可以进入，但是这个估计不太行（win10以上的机器应该都不行）。

5次shift之后：

新建用户，然后登录：

目前是进去了，但是没法获取到里面其他用户的信息，所以需要重启挂载iso文件，读取hash：

4.2.4 制作iso文件

刚刚挂载是为了进去，但是奈何win10以上的用户，没法置空密码进去，所以只能新建用户进去，但是无法获取原来的账密信息，所以需要挂载新的iso进去，在这里使用UltralISO制作iso启动盘：

参考方法：

https://blog.csdn.net/bcbobo21cn/article/details/116347346

因为很简单，就不截图了。

将原来的环境关机，替换iso文件：

配置之后，重启设备：

打开之后，就抓到了密码：

5. dc机器抓hash

在克隆机器登录dc机器之后，只能获取到一个system权限的shell，幸好里面使用的是Windows defender，如果用其他杀软的话，加用户都比较困难，在这里讨论下抓原机器hash的方法。

5.1 上线c2

在这里获取到一个system的shell之后，需要给该克隆的机器分配一个网络，如果可以的话，使用certutil或者是ps指令上线c2，再抓原来的密码，这个我没有试过，理论可行。

当然，也可以用certutil直接下载mimikatz来抓取hash（可能需要免杀）

5.2 抓注册表

这个方法是比较合理的，在4.2.4中只抓了当前用户的hash，无法抓取其他用户的hash，所以可以使用注册表方法抓取。

5.2.1 本地Windows10实验

为了验证可行性，在这里以本地Windows10环境为基础（后期补充的），操作看下，以下操作在本地：

目的是尝试抓取**admin**用户的**hash**

新建账号之后，使用新账号登录:

当前使用test用户登录，只能抓到登录账号的账密hash：

但是如果对注册表操作的话，在这里对注册表操作：

reg save HKLM\SYSTEM system.hiv
reg save HKLM\SAM sam.hiv
reg save hklm\security security.hiv
在本地使用mimikatz执行：
mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

抓到了admin用户的hash，这就证实了对注册表操作是可以抓到原来用户的账密hash的。

5.2.2 注册表抓取

此时抓到了：

6. 总结

漏洞第一时间同步给客户进行了修复。

当前以confluence的web漏洞，再到linux提权，再到vcenter的漏洞，再到机器的克隆和hash获取等，整个流程非常的漫长，而且磕磕绊绊的地方非常多，当然还有很多没有解决的问题：

• • 比如vcenter为啥没有添加上用户
  
• • 注册表抓hash为啥没有抓到当前登录用户
  
• • linux系统如何抓关键信息等等。。。
  

后续再慢慢学习吧，东西太多了。