【实战】记一次攻防演练之vcenter后渗透利用(下)

简介: 【实战】记一次攻防演练之vcenter后渗透利用

4.2 克隆虚拟机法


在这里发现dc机器上锁屏了,而且是winserver2016的机器,那就试试克隆之后,使用cd引导来破除密码啥的,意思就是你电脑关机了,再开机的时候,先把usb或者cd启动,把密码抹掉,类似于我们使用的大白菜装机大师。


4.2.1 kon-boot文件上传


先看下dc机器的位置,把你做好的大白菜u盘(类比的说法而已)传上去,在这里传的是kon-bootiso文件。

可以从网上下载老版本的:

链接:https://pan.baidu.com/s/14_OP_nePf-HUlkZxzwXkXw
提取码:k32k

思路是:

KON-BOOTiso镜像(非常的小)上传到vcenter的某一个磁盘中,克隆虚拟机,将克隆的CD/DVD处镜像更换成KON-BOOTiso文件,再启动。

在这里选择上传,当前上传的话,有几个说法,一个是需要下载安装vcenter的证书才能上传,否则无权限;另外一个说法是直接上传,如果失败的话,多上传几次。。。

在这里我没安装证书,而是直接上传的,一次就上去了(可能是因为文件很小)


4.2.2 克隆虚拟机


在这里选择克隆到虚拟机:

起个名字,然后放在下面,下一步:

随便放,下一步:

选择存储桶,在这选择刚上传iso文件的镜像,也是dc机器的硬盘,这样拷贝啥的快:

在这里选择克隆选项:

把网卡都取消:

此时就差不多了:

点击finish之后,克隆需要等待一会,因为要复制文件啥的,大概从1分钟到数分钟不等(取决于是什么盘,不知道为啥变成了2012的)


4.2.3 开启机器


在开启之前,编辑设置,对vm虚拟机设置:

添加虚拟机设置,我的没有cd驱动器选项,所以需要添加,如果你有的话,你就不需要添加:(不清楚刚刚的操作出了啥问题,反正检查下,保险点)

开机就会进入bios界面,选择cd优先启动之后,再使用 F10 保存。开机之后,选择启动web控制台:

启动之后,在bios界面,使用+-符号来移动顺序,mac上只能用-来移动,将cd作为第一个,然后f10保存即可。

启动之后会有界面:

到这个界面之后,5下shift进入,也有空密码(相当于置空密码了)可以进入,但是这个估计不太行(win10以上的机器应该都不行)。

5次shift之后:

新建用户,然后登录:

目前是进去了,但是没法获取到里面其他用户的信息,所以需要重启挂载iso文件,读取hash


4.2.4 制作iso文件


刚刚挂载是为了进去,但是奈何win10以上的用户,没法置空密码进去,所以只能新建用户进去,但是无法获取原来的账密信息,所以需要挂载新的iso进去,在这里使用UltralISO制作iso启动盘:

参考方法:

https://blog.csdn.net/bcbobo21cn/article/details/116347346

因为很简单,就不截图了。

将原来的环境关机,替换iso文件:

配置之后,重启设备:

打开之后,就抓到了密码:


5. dc机器抓hash


在克隆机器登录dc机器之后,只能获取到一个system权限的shell,幸好里面使用的是Windows defender,如果用其他杀软的话,加用户都比较困难,在这里讨论下抓原机器hash的方法。


5.1 上线c2


在这里获取到一个systemshell之后,需要给该克隆的机器分配一个网络,如果可以的话,使用certutil或者是ps指令上线c2,再抓原来的密码,这个我没有试过,理论可行。

当然,也可以用certutil直接下载mimikatz来抓取hash(可能需要免杀)


5.2 抓注册表


这个方法是比较合理的,在4.2.4中只抓了当前用户的hash,无法抓取其他用户的hash,所以可以使用注册表方法抓取。


5.2.1 本地Windows10实验


为了验证可行性,在这里以本地Windows10环境为基础(后期补充的),操作看下,以下操作在本地:

目的是尝试抓取**admin**用户的**hash**

新建账号之后,使用新账号登录:

当前使用test用户登录,只能抓到登录账号的账密hash

但是如果对注册表操作的话,在这里对注册表操作:

reg save HKLM\SYSTEM system.hiv
reg save HKLM\SAM sam.hiv
reg save hklm\security security.hiv
在本地使用mimikatz执行:
mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

抓到了admin用户的hash,这就证实了对注册表操作是可以抓到原来用户的账密hash的。


5.2.2 注册表抓取


此时抓到了:


6. 总结


漏洞第一时间同步给客户进行了修复。

当前以confluenceweb漏洞,再到linux提权,再到vcenter的漏洞,再到机器的克隆和hash获取等,整个流程非常的漫长,而且磕磕绊绊的地方非常多,当然还有很多没有解决的问题:

  • • 比如vcenter为啥没有添加上用户
  • • 注册表抓hash为啥没有抓到当前登录用户
  • linux系统如何抓关键信息等等。。。

后续再慢慢学习吧,东西太多了。

相关文章
|
运维 安全 网络协议
Hfish蜜罐部署及防护经验分享
Hfish蜜罐部署及防护经验分享
3826 1
Hfish蜜罐部署及防护经验分享
|
4月前
|
安全 网络安全 数据安全/隐私保护
网络攻防演练需要注意哪些
【8月更文挑战第14天】
121 1
|
存储 安全 Shell
【实战】记一次攻防演练之vcenter后渗透利用(上)
【实战】记一次攻防演练之vcenter后渗透利用
690 0
|
NoSQL 安全 Shell
『攻防』记一次EDU攻防演练
『攻防』记一次EDU攻防演练
189 0
『攻防』记一次EDU攻防演练
|
域名解析 前端开发 网络协议
【攻防演练】从钓鱼上线到内网漫游(一)
【攻防演练】从钓鱼上线到内网漫游
221 0
|
网络协议 Java 应用服务中间件
【攻防演练】从钓鱼上线到内网漫游(二)
【攻防演练】从钓鱼上线到内网漫游
221 0
|
传感器 监控 安全
攻防演练 | 攻防在即,RASP为上
RASP技术结合SCA分析技术、IAST技术可以在DevSecOps模型的整个生命周期中对代码安全进行检测、防御,实现安全左移,不局限于应用运行时的事后防御。而且,RASP技术集合BAS技术可以在攻防演练活动中实现自动化检测,对安全威胁进行验证,确保安全链路完整。
281 0
|
SQL 安全 Linux
搭建网络安全靶场环境
搭建靶场环境 我们将通过Docker来搭建靶场 首先我们需要下载Centos7来安装Docker,下载链接https://mirrors.ustc.edu.cn/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-DVD-2009.iso 下载完成后创建虚拟机 版本选择centos7(64位)
1062 0
搭建网络安全靶场环境
|
运维 安全 测试技术
网站漏洞分析攻防过程
漏洞分析和渗透测试是网站安全攻击和防御演习攻击者的常用方法。通过收集目标系统的信息和综合分析,使用适当的攻击工具对目标系统的安全漏洞进行相关分析,验证漏洞的使用方法和难度,并通过各种攻击方法找到潜在漏洞的攻击路径。基于制定的攻击方案,利用漏洞和攻击进行实际作战演习,尝试各种技术手段访问或操作系统、数据库和中间文件,绕过系统安全保护,全面渗透目标系统。通过渗透等方式获得相关关系。
224 3
网站漏洞分析攻防过程
|
SQL 运维 安全
安全渗透环境准备_1 | 学习笔记
快速学习 安全渗透环境准备_1
139 0