首页 科技内容详情
Allbet开户:【技术原创】渗透基础——利用VMware Tools实现的后门

Allbet开户:【技术原创】渗透基础——利用VMware Tools实现的后门

分类:科技

标签: # 技术

网址:

SEO查询: 爱站网 站长工具

点击直达

0x00 前言

在渗透测试中,我们经常会碰到Windows虚拟机,这些虚拟机往往会安装VMware Tools,利用VMware Tools的脚本执行功能可以实现一个开机自启动的后门。

关于这项技术的文章:

https://bohops.com/2021/10/08/analyzing-and-detecting-a-vmtools-persistence-technique/

https://www.hexacorn.com/blog/2017/01/14/beyond-good-ol-run-key-part-53/

本文将要在参考资料的基础上,分析利用思路,给出防御建议。

0x01 简介

本文将要介绍以下内容:

◼利用思路

◼利用分析

◼防御建议

0x02 利用思路

VMware Tools的脚本执行功能支持在以下四种状态时运行:

◼power,开机状态

◼resume,恢复状态

◼suspend,挂起状态

◼shutdown,关机状态

可以选择以下两种方法进行配置脚本执行的功能:

1.使用VMwareToolboxCmd.exe

默认安装路径:"C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe"

命令示例1:

"C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe" script power enable

命令执行后,将在默认安装路径下创建文件C:\ProgramData\VMware\VMware Tools\tools.conf,内容为:

[powerops]
poweron-script=poweron-vm-default.bat

实现效果:

当系统开机时,将会以System权限执行"C:\Program Files\VMware\VMware Tools\poweron-vm-default.bat"

注:

对于power命令,只能是开机操作,重启操作无法触发

,

Allbet开户www.aLLbetgame.us)是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

命令示例2:

"C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe" script suspend set "c:\test\1.bat"

命令执行后,将在默认安装路径下创建文件C:\ProgramData\VMware\VMware Tools\tools.conf,内容为:

[powerops]
suspend-script=c:\\test\\1.bat

实现效果:

当系统进入挂起状态时,将会以System权限执行"c:\test\1.bat"

2.使用tools.conf

直接创建文件C:\ProgramData\VMware\VMware Tools\tools.conf

文件内容示例:

[powerops]
poweron-script=poweron-vm-default.bat
suspend-script=c:\\test\\1.bat

实现效果:

当系统开机时,将会以System权限执行"C:\Program Files\VMware\VMware Tools\poweron-vm-default.bat",当系统进入挂起状态时,将会以System权限执行"c:\test\1.bat"

补充:

查看VMwareToolboxCmd.exe的帮助说明:

"C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe" help

查看开机启动脚本的默认路径:

"C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe" script power default

查看开机启动脚本的当前路径:

"C:\Program Files\VMware\VMware Tools\VMwareToolboxCmd.exe" script power current

0x03 利用分析

创建文件C:\ProgramData\VMware\VMware Tools\tools.conf需要管理员权限

通过VMware Tools的脚本执行功能,启动脚本的执行权限为System

为了提高隐蔽性,可以设置默认启动脚本为poweron-vm-default.bat,在poweron-vm-default.bat添加通过rundll32加载dll的命令

0x04 防御检测

默认配置下,VMware Tools不会开启脚本执行功能,也就是说不存在文件C:\ProgramData\VMware\VMware Tools\tools.conf

1.识别脚本执行功能是否开启

查看文件C:\ProgramData\VMware\VMware Tools\tools.conf的内容

如果文件不存在,代表脚本执行功能未开启

2.识别脚本执行的内容

查看文件C:\ProgramData\VMware\VMware Tools\tools.conf的内容

如果未指明脚本文件的绝对路径,脚本文件默认的绝对路径为"C:\Program Files\VMware\VMware Tools\"

0x05 小结

本文分析了VMware Tools脚本执行功能的利用思路,给出防御建议。

  • 皇冠正网开户(www.huangguan.us) @回复Ta

    2022-01-14 00:05:24 

    据媒体报道,盛松成以为,中国人民银行近期关于下调金融机构存款准备金率的决议,是为了支持实体经济生长,促进综合融资成本稳中有降。今年一季度我国GDP同比增进18.3%,二季度亦有望实现8%左右的高增速,随着低基数效应减退, 下半年[我国经济增速或降至5%-7%。其中,出口超预期高增进,{成为经济}恢复的主要引擎。今年我国财政政策力度弱于去年,{财政支出}增速大幅低于【收入增】速,这与地方债刊行节奏放缓有关,但也反映财政潜力有限,钱币政接应给予配合和支持。我真觉得可以更好

发布评论