亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

公告：魔扣目錄網(wǎng)為廣大站長提供免費收錄網(wǎng)站服務(wù)，提交前請做好本站友鏈：【網(wǎng)站目錄：http://www.430618.com 】，免友鏈快審服務(wù)（50元/站），

網(wǎng)站：51998
待審：31
小程序：12
文章：1030137
會員：747

首頁 > 新聞資訊 > IT業(yè)界 >正文

利用VMware Tools實現(xiàn)的后門

發(fā)布時間：2023-07-03 01:00:48 作者：網(wǎng)友整理

0x00 前言

在滲透測試中，我們經(jīng)常會碰到windows虛擬機，這些虛擬機往往會安裝VMware Tools，利用VMware Tools的腳本執(zhí)行功能可以實現(xiàn)一個開機自啟動的后門。

關(guān)于這項技術(shù)的文章：

https://bohops.com/2021/10/08/analyzing-and-detecting-a-vmtools-persistence-technique/

https://www.hexacorn.com/blog/2017/01/14/beyond-good-ol-run-key-part-53/

本文將要在參考資料的基礎(chǔ)上，分析利用思路，給出防御建議。

0x01 簡介

本文將要介紹以下內(nèi)容：

利用思路
利用分析
防御建議

0x02 利用思路

VMware Tools的腳本執(zhí)行功能支持在以下四種狀態(tài)時運行：

power，開機狀態(tài)
resume，恢復(fù)狀態(tài)
suspend，掛起狀態(tài)
shutdown，關(guān)機狀態(tài)

可以選擇以下兩種方法進行配置腳本執(zhí)行的功能：

1.使用VMwareToolboxCmd.exe

默認安裝路徑:"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe"

命令示例1：

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script power enable

命令執(zhí)行后，將在默認安裝路徑下創(chuàng)建文件C:ProgramDataVMwareVMware Toolstools.conf，內(nèi)容為：

[powerops]
poweron-script=poweron-vm-default.bat

實現(xiàn)效果：

當系統(tǒng)開機時，將會以System權(quán)限執(zhí)行"C:Program FilesVMwareVMware Toolspoweron-vm-default.bat"

注：

對于power命令，只能是開機操作，重啟操作無法觸發(fā)

命令示例2：

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script suspend set "c:test1.bat"

命令執(zhí)行后，將在默認安裝路徑下創(chuàng)建文件C:ProgramDataVMwareVMware Toolstools.conf，內(nèi)容為：

[powerops]
suspend-script=c:\test\1.bat

實現(xiàn)效果：

當系統(tǒng)進入掛起狀態(tài)時，將會以System權(quán)限執(zhí)行"c:test1.bat"

2.使用tools.conf

直接創(chuàng)建文件C:ProgramDataVMwareVMware Toolstools.conf

文件內(nèi)容示例：

[powerops]
poweron-script=poweron-vm-default.bat
suspend-script=c:\test\1.bat

實現(xiàn)效果：

當系統(tǒng)開機時，將會以System權(quán)限執(zhí)行"C:Program FilesVMwareVMware Toolspoweron-vm-default.bat"，當系統(tǒng)進入掛起狀態(tài)時，將會以System權(quán)限執(zhí)行"c:test1.bat"

補充：

查看VMwareToolboxCmd.exe的幫助說明：

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" help

查看開機啟動腳本的默認路徑：

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script power default

查看開機啟動腳本的當前路徑：

"C:Program FilesVMwareVMware ToolsVMwareToolboxCmd.exe" script power current

0x03 利用分析

創(chuàng)建文件C:ProgramDataVMwareVMware Toolstools.conf需要管理員權(quán)限

通過VMware Tools的腳本執(zhí)行功能，啟動腳本的執(zhí)行權(quán)限為System

為了提高隱蔽性，可以設(shè)置默認啟動腳本為poweron-vm-default.bat，在poweron-vm-default.bat添加通過rundll32加載dll的命令

0x04 防御檢測

默認配置下，VMware Tools不會開啟腳本執(zhí)行功能，也就是說不存在文件C:ProgramDataVMwareVMware Toolstools.conf

1.識別腳本執(zhí)行功能是否開啟

查看文件C:ProgramDataVMwareVMware Toolstools.conf的內(nèi)容

如果文件不存在，代表腳本執(zhí)行功能未開啟

2.識別腳本執(zhí)行的內(nèi)容

查看文件C:ProgramDataVMwareVMware Toolstools.conf的內(nèi)容

如果未指明腳本文件的絕對路徑，腳本文件默認的絕對路徑為"C:Program FilesVMwareVMware Tools"

0x05 小結(jié)

本文分析了VMware Tools腳本執(zhí)行功能的利用思路，給出防御建議。

分享到：

標簽：VMware Tools

網(wǎng)友整理

注冊時間：

網(wǎng)站：5 個小程序：0 個文章：12 篇

51998
網(wǎng)站
12
小程序
1030137
文章
747
會員

趕快注冊賬號，推廣您的網(wǎng)站吧！

文章分類

熱門網(wǎng)站

各百科-專業(yè)百科問答知識名網(wǎng)站 m.geelcn.com
免費軟件,綠色軟件園,手機軟件下載,熱門游戲下載中心-中當網(wǎng) m.deelcn.com
魔扣科技 www.430618.com
體育新聞_國際體育資訊_全球體育賽事-中名網(wǎng) www.feelcn.com/tiyu/tiyuxinwen/
食品安全_健康飲食_舌尖上的安全-中名網(wǎng) www.feelcn.com/shenghuo/shipinanquan/
中合網(wǎng) www.heelcn.com
中當網(wǎng) www.deelcn.com
魔扣網(wǎng)站維護代運營 www.430618.com/tg
中合網(wǎng)-健康養(yǎng)生知識科普名站 m.heelcn.com
各百科 www.geelcn.com

數(shù)獨大挑戰(zhàn)2018-06-03

數(shù)獨一種數(shù)學游戲，玩家需要根據(jù)9

答題星2018-06-03

您可以通過答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題，題庫，初中，高中，大學四六

運動步數(shù)有氧達人2018-06-03

記錄運動步數(shù)，積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓練成績評定2018-06-03

通用課目體育訓練成績評定