日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網為廣大站長提供免費收錄網站服務,提交前請做好本站友鏈:【 網站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(50元/站),

點擊這里在線咨詢客服
新站提交
  • 網站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

利用VMware Tools實現的后門

發布時間:2023-07-03 01:00:48 作者:網友整理

0x00 前言

在滲透測試中,我們經常會碰到windows虛擬機,這些虛擬機往往會安裝VMware Tools,利用VMware Tools的腳本執行功能可以實現一個開機自啟動的后門。

關于這項技術的文章:

https://bohops.com/2021/10/08/analyzing-and-detecting-a-vmtools-persistence-technique/

https://www.hexacorn.com/blog/2017/01/14/beyond-good-ol-run-key-part-53/

本文將要在參考資料的基礎上,分析利用思路,給出防御建議。

0x01 簡介

本文將要介紹以下內容:

  • 利用思路
  • 利用分析
  • 防御建議

0x02 利用思路

VMware Tools的腳本執行功能支持在以下四種狀態時運行:

  • power,開機狀態
  • resume,恢復狀態
  • suspend,掛起狀態
  • shutdown,關機狀態

可以選擇以下兩種方法進行配置腳本執行的功能:

1.使用VMwareToolboxCmd.exe

默認安裝路徑:"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe"

命令示例1:

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script power enable

命令執行后,將在默認安裝路徑下創建文件C:ProgramDataVMwareVMware Toolstools.conf,內容為:

[powerops]
poweron-script=poweron-vm-default.bat

實現效果:

當系統開機時,將會以System權限執行"C:Program FilesVMwareVMware Toolspoweron-vm-default.bat"

注:

對于power命令,只能是開機操作,重啟操作無法觸發

命令示例2:

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script suspend set "c:test1.bat"

命令執行后,將在默認安裝路徑下創建文件C:ProgramDataVMwareVMware Toolstools.conf,內容為:

[powerops]
suspend-script=c:\test\1.bat

實現效果:

當系統進入掛起狀態時,將會以System權限執行"c:test1.bat"

2.使用tools.conf

直接創建文件C:ProgramDataVMwareVMware Toolstools.conf

文件內容示例:

[powerops]
poweron-script=poweron-vm-default.bat
suspend-script=c:\test\1.bat

實現效果:

當系統開機時,將會以System權限執行"C:Program FilesVMwareVMware Toolspoweron-vm-default.bat",當系統進入掛起狀態時,將會以System權限執行"c:test1.bat"

補充:

查看VMwareToolboxCmd.exe的幫助說明:

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" help

查看開機啟動腳本的默認路徑:

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script power default

查看開機啟動腳本的當前路徑:

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script power current

0x03 利用分析

創建文件C:ProgramDataVMwareVMware Toolstools.conf需要管理員權限

通過VMware Tools的腳本執行功能,啟動腳本的執行權限為System

為了提高隱蔽性,可以設置默認啟動腳本為poweron-vm-default.bat,在poweron-vm-default.bat添加通過rundll32加載dll的命令

0x04 防御檢測

默認配置下,VMware Tools不會開啟腳本執行功能,也就是說不存在文件C:ProgramDataVMwareVMware Toolstools.conf

1.識別腳本執行功能是否開啟

查看文件C:ProgramDataVMwareVMware Toolstools.conf的內容

如果文件不存在,代表腳本執行功能未開啟

2.識別腳本執行的內容

查看文件C:ProgramDataVMwareVMware Toolstools.conf的內容

如果未指明腳本文件的絕對路徑,腳本文件默認的絕對路徑為"C:Program FilesVMwareVMware Tools"

0x05 小結

本文分析了VMware Tools腳本執行功能的利用思路,給出防御建議。

分享到:
標簽:VMware Tools
用戶無頭像

網友整理

注冊時間:

網站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網站吧!
最新入駐小程序

數獨大挑戰2018-06-03

數獨一種數學游戲,玩家需要根據9

答題星2018-06-03

您可以通過答題星輕松地創建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學四六

運動步數有氧達人2018-06-03

記錄運動步數,積累氧氣值。還可偷

每日養生app2018-06-03

每日養生,天天健康

體育訓練成績評定2018-06-03

通用課目體育訓練成績評定