获取vCenter锁屏主机hash

前言

NO.1

在参加攻防演练的时候遇到了很多次vCenter，获取到vCenter的shell之后，往往会进一步获取ESXI和vCenter的web权限。

但是在攻防演练的时候，ESXI或vCenter中的机器很多都是锁屏状态的，需要密码才可以进去

那么在不知道密码的情况下如何进入锁屏机器呢？结合自身实战经验并对网上的方法总结整理，在本地搭建环境测试，总结了以下几个方法。

获取锁屏机器hash

NO.2

克隆机器

在实战过程中，抓取机器的hash，难免会有重启或关机等操作，为了不影响客户的业务，更为了安全起见，所有操作都是针对克隆的机器进行的。

克隆机器的详细步骤如下：

点击 ‘操作’ –> ‘克隆’ –> ‘克隆到虚拟机’

填写虚拟机名称，一直下一步即可

成功克隆一个机器

KonBoot引导

通过加载KON-BOOT镜像文件绕过密码登录进入操作系统

https://kon-boot.com/

注意：此方法需要重启机器

上传kon-boot的iso镜像文件到vCenter存储中

选择克隆主机，点击 ‘操作’ –> ‘编辑设置’

在’虚拟硬件’中’网络适配器1*’勾选’连接’

选择’CD/DVD驱动器1*’，’CD/DVD介质’点击’浏览’，选择上传的iso镜像

在’虚拟机选项’–> ‘引导选项’中勾选’下次引导期间强制进入BIOS设置屏幕’

然后重启机器，进入BIOS页面。选择’Boot’，把’CD-ROM Drive’移到最上面，按F10退出即可。

先移动到’CD-ROM Drive’，再’Shift++’即可向上移动

yes，回车

等待目标机器重启

开机之后这样，发现还要密码

直接回车即可进入系统

进入系统之后，在vCenter页面，修改挂载的iso文件

这里挂载的iso文件是自己制作的iso，里面包含有抓密码的工具

挂载好之后，虚拟机会弹出一个框

打开即可看到我们的工具

以管理员方式运行cmd，导出sam和system文件

用mimikatz解密

拿这个密码去登录原主机即可

注意：在实战中直接上传一个真实的ISO镜像文件不太方便，我们往往只需要某一个工具，这种情况下，我们可以把需要的文件制作成一个ISO镜像

挂载vmdk

新建虚拟机或者找一台可控虚拟机挂载克隆后虚拟机的vmdk

注意：这个过程中虚拟机要关机，开机状态机器的vmdk是锁定的

查看克隆机器的磁盘文件位置，在’编辑设置’ –> ‘硬盘1’中

然后再编辑设置一台可控的机器，在’虚拟硬件’中’添加新设备’，点击’现有硬盘’

选择克隆的虚拟机的vmdk

进入可控机器

执行’diskmgmt.msc’，右键’联机’

此时就可以正常看到联机挂载的磁盘了

然后将以下文件下载到本地

C:WindowsNTDSNTDS.dit   域环境下才有C:WindowsSystem32configSYSTEMC:WindowsSystem32configSAM

怎么把上述文件下载到本地？

1.禁用客户机操作系统和远程控制台之间的复制和粘贴操作

2.在我们可控的虚拟机上开启共享文件夹

下载到本地之后执行如下命令

# dump 本地 hashpython3 secretsdump.py -sam SAM -system SYSTEM local

注意：利用完成后别忘了取消挂载，去虚拟机设置里面移除该硬盘。

抓取内存快照hash

在vCenter web页面制定目标机器生成快照，在数据存储中找到目标机器快照的’.vmem文件’或者’.vmsn文件’，下载到本地

或者使用’pysharpsphere’对指定目标机器拍摄快照，然后下载到本地

执行命令获取内存镜像的操作系统版本信息

volatility_2.6_win64_standalone.exe -f win7-Snapshot2.vmem imageinfo

执行命令dump hash

# dump hashvolatility_2.6_win64_standalone.exe -f win7-Snapshot2.vmem --profile=Win7SP1x64 hashdump

‘volatility’的用法参考：

https://www.cnblogs.com/junglezt/p/16027761.htmlhttps://www.volatilityfoundation.org/releases

注意：机器快照文件往往很大，实战时网络一般不好，短时间内可能无法把快照文件下载到本地

PE系统绕过

利用PE工具绕过开机密码登录目标操作系统

把制作好的pe镜像上传到vCenter存储中

选中目标虚拟机，编辑设置

在’虚拟硬件’ –> ‘CD/DVD驱动器’处勾选’打开电源时连接’，选择镜像文件

在’虚拟机选项’ –> ‘引导选项’，勾选’下次引导期间强制进入 BIOS 设置屏幕’。

设置完成之后，打开虚拟机，设置引导，进行如下配置。

选择Boot，把’CD-ROM Drive’移到最上面，按’F10’，选择’Yes’退出即可

开机进入PE系统

根据实际情况拷贝以下内容，将PE文件中的工具拷贝到目标磁盘上

# 本地hashC:WindowsSystem32configSYSTEMC:WindowsSystem32configSAM # 如果目标是DC服务器，还可以导出ntds.dit文件读全域hashC:WindowsNTDSNTDS.dit

注意：目标系统在重启之后，原来系统的 C 盘会变更为 D 盘

在PE中无法执行’mimikatz’命令

直接修改系统密码

点击’保存修改’，然后关机

再点击’编辑设置’，在’CD/DVD驱动器’取消勾选’打开电源时连接’

‘虚拟机选项’ –> ‘引导选项’中取消勾选’下次引导期间强制进入 BIOS 设置屏幕’

开机，输入修改后的密码即可进入系统

然后用刚才拷贝的工具和文件解密即可（此处的SAM和SYSTEM文件是修改密码之前的，即原密码文件）

mimikatz.exe "log" "lsadump::sam /sam:SAM /system:SYSTEM" exit

将NTML Hash进行解密

https://hashes.com/en/decrypt/hashhttps://www.cmd5.com/

总结

NO.3

实战过程中，vCenter还是比较常见的，如果能拿下vCenter收获往往会很大，但是在测试的时候更需要耐心细心，需要注意以下几点：

    1.vCenter，外号小域控，拿下vCenter就可以控制很多机器

    2.在操作过程中，难免会有重启、关机等敏感操作，慎重！慎重！慎重！

    3.尽量克隆一台机器，在克隆机器上面操作

参考

NO.4

https://jingyan.baidu.com/article/20b68a8852d31f386dec6230.htmlhttps://mp.weixin.qq.com/s/Okxc4CdFRPe82UHN4UXQHQhttps://mp.weixin.qq.com/s/JI3YlyComDViFX31UE8ddAhttps://mp.weixin.qq.com/s/-cEf0bG8j_8VdoSEeMsNGwhttps://mp.weixin.qq.com/s/DbXxm6vWgtL8uGjO_z-ocAhttps://www.cnblogs.com/junglezt/p/16027761.html

声明

NO.5

本文作者：blackwhite

本文编辑：Yusa

感谢 blackwhite 师傅 (๑•̀ㅂ•́)و✧