跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

由VMware工具实施的渗透基础——后门

cnhackteam7
cnhackteam7
木马病毒分析

精选回复

发布于

0x00 前言

在渗透测试中,我们经常会遇到Windows虚拟机,这些虚拟机往往会安装VMware工具。利用VMware Tools的脚本执行功能,我们可以实现一个从上电开始的后门。

关于这项技术的文章:

https://bohops . com/2021/10/08/analyzing-and-detecting-a-vmtools-persistence-technique/

https://www . hexa corn . com/blog/2017/01/14/beyond-good-ol-run-key-part-53/

本文将在参考资料的基础上,分析运用思路,给出答辩建议。

0x01 简介

本文将介绍以下内容:

利用理念

利用率分析

辩护建议

0x02 利用思路

VMware的脚本执行功能支持在以下四种状态下运行:

电源,开启状态

简历,简历状态

暂停,暂停状态

关机,关机状态

您可以选择以下两种方法来配置脚本执行的功能:

1.使用VMwareToolboxCmd.exe

默认安装路径:“C:\ Program Files \ VMware \ VMware Tools \ vmwaretoolboxcmd . exe”

示例1:

“c:\ Program Files \ VMware \ VMware Tools \ vmwaretoolboxcmd . exe”脚本电源启用

执行该命令后,将在默认安装路径下创建文件C:\ Program Data \ VMware \ VMware Tools \ Tools . conf,其内容如下:

[动力操作]

power on-script=poweron-VM-default . bat

达到效果:

系统开机时会以系统权限执行' C:\ program files \ VMware \ VMware tools \ poweron-VM-default . bat '。

注:

对于电源命令,只能启动,不能触发重启操作。

示例2:

“c:\ Program Files \ VMware \ VMware Tools \ vmwaretoolboxcmd . exe”脚本挂起集“c:\test\1.bat”

执行该命令后,将在默认安装路径下创建文件C:\ Program Data \ VMware \ VMware Tools \ Tools . conf,其内容如下:

[动力操作]

suspend-script=c:\\test\\1.bat

达到效果:

当系统进入挂起状态时,会以系统权限执行' c:\test\1.bat '。

2.使用tools.conf

直接创建文件C:\ Program Data \ VMware \ VMware Tools \ Tools . conf。

文件内容示例:

[动力操作]

power on-script=poweron-VM-default . bat

suspend-script=c:\\test\\1.bat

达到效果:

系统启动时,以系统权限执行' C:\ program files \ VMware \ VMware tools \ poweron-VM-default . bat ',系统挂起时,以系统权限执行' c:\test\1.bat '。

补充:

请查看VMwareToolboxCmd.exe的帮助说明:

“c:\ Program Files \ VMware \ VMware Tools \ vmwaretoolboxcmd . exe”帮助

查看引导脚本的默认路径:

“c:\ Program Files \ VMware \ VMware Tools \ vmwaretoolboxcmd . exe”脚本电源默认值

查看引导脚本的当前路径:

“c:\ Program Files \ VMware \ VMware Tools \ vmwaretoolboxcmd . exe”脚本当前电源

0x03 利用分析

创建文件c:\ program data \ VMware \ VMware tools \ tools . conf需要管理员权限。

通过VMware Tools的脚本执行功能,启动脚本的执行权限是System。

为了提高隐蔽性,可以将默认的启动脚本设置为poweron-vm-default.bat,在poweron-VM-default.bat中添加通过rundll32加载dll的命令。

0x04 防御检测

默认情况下,VMware Tools不会开启脚本执行功能,这意味着文件C:\ Program Data \ VMware \ VMware Tools \ Tools . conf不存在。

1.识别脚本执行功能是否开启

检查文件c:\ program data \ VMware \ VMware tools \ tools . conf的内容。

如果文件不存在,则不打开脚本执行功能。

2.识别脚本执行的内容

检查文件c:\ program data \ VMware \ VMware tools \ tools . conf的内容。

如果未指定脚本文件的绝对路径,则脚本文件的默认绝对路径为“C:\ Program Files \ VMware \ VMware Tools”

0x05 小结

分析了利用VMware Tools的脚本执行功能的思路,并给出了一些防御建议。

留下回复

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。