您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

利用VMware Tools实现的后门

时间:2022-03-09 10:29:06  来源:  作者:戏中人

0x00 前言


在渗透测试中,我们经常会碰到windows虚拟机,这些虚拟机往往会安装VMware Tools,利用VMware Tools的脚本执行功能可以实现一个开机自启动的后门。

关于这项技术的文章:

https://bohops.com/2021/10/08/analyzing-and-detecting-a-vmtools-persistence-technique/

https://www.hexacorn.com/blog/2017/01/14/beyond-good-ol-run-key-part-53/

本文将要在参考资料的基础上,分析利用思路,给出防御建议。

0x01 简介


本文将要介绍以下内容:

  • 利用思路
  • 利用分析
  • 防御建议

0x02 利用思路


VMware Tools的脚本执行功能支持在以下四种状态时运行:

  • power,开机状态
  • resume,恢复状态
  • suspend,挂起状态
  • shutdown,关机状态

可以选择以下两种方法进行配置脚本执行的功能:

1.使用VMwareToolboxCmd.exe

默认安装路径:"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe"

命令示例1:

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script power enable

命令执行后,将在默认安装路径下创建文件C:ProgramDataVMwareVMware Toolstools.conf,内容为:

[powerops]
poweron-script=poweron-vm-default.bat

实现效果:

当系统开机时,将会以System权限执行"C:Program FilesVMwareVMware Toolspoweron-vm-default.bat"

注:

对于power命令,只能是开机操作,重启操作无法触发

命令示例2:

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script suspend set "c:test1.bat"

命令执行后,将在默认安装路径下创建文件C:ProgramDataVMwareVMware Toolstools.conf,内容为:

[powerops]
suspend-script=c:\test\1.bat

实现效果:

当系统进入挂起状态时,将会以System权限执行"c:test1.bat"

2.使用tools.conf

直接创建文件C:ProgramDataVMwareVMware Toolstools.conf

文件内容示例:

[powerops]
poweron-script=poweron-vm-default.bat
suspend-script=c:\test\1.bat

实现效果:

当系统开机时,将会以System权限执行"C:Program FilesVMwareVMware Toolspoweron-vm-default.bat",当系统进入挂起状态时,将会以System权限执行"c:test1.bat"

补充:

查看VMwareToolboxCmd.exe的帮助说明:

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" help

查看开机启动脚本的默认路径:

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script power default

查看开机启动脚本的当前路径:

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script power current

0x03 利用分析


创建文件C:ProgramDataVMwareVMware Toolstools.conf需要管理员权限

通过VMware Tools的脚本执行功能,启动脚本的执行权限为System

为了提高隐蔽性,可以设置默认启动脚本为poweron-vm-default.bat,在poweron-vm-default.bat添加通过rundll32加载dll的命令

0x04 防御检测


默认配置下,VMware Tools不会开启脚本执行功能,也就是说不存在文件C:ProgramDataVMwareVMware Toolstools.conf

1.识别脚本执行功能是否开启

查看文件C:ProgramDataVMwareVMware Toolstools.conf的内容

如果文件不存在,代表脚本执行功能未开启

2.识别脚本执行的内容

查看文件C:ProgramDataVMwareVMware Toolstools.conf的内容

如果未指明脚本文件的绝对路径,脚本文件默认的绝对路径为"C:Program FilesVMwareVMware Tools"

0x05 小结


本文分析了VMware Tools脚本执行功能的利用思路,给出防御建议。



Tags:VMware Tools   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
利用VMware Tools实现的后门
0x00 前言在渗透测试中,我们经常会碰到Windows虚拟机,这些虚拟机往往会安装VMware Tools,利用VMware Tools的脚本执行功能可以实现一个开机自启动的后门。关于这项技术的文章:ht...【详细内容】
2022-03-09  Search: VMware Tools  点击:(380)  评论:(0)  加入收藏
在常用Linux操作系统中安装VMware Tools
VMware Tools 中包含一系列服务和模块,可在 VMware 产品中实现多种功能,从而使用户能够更好地管理客户机操作系统,以及与客户机操作系统进行无缝交互。 系统环境 Cento...【详细内容】
2020-02-29  Search: VMware Tools  点击:(386)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(6)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(56)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(140)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(85)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(110)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(143)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(179)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(163)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(224)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条