0x00前言在渗透测试中,当系统进入挂起状态时,代表脚本执行功能未开启2.识别脚本执行的内容查看文件C:\ProgramData\VMware\VMwareTools\tools.conf的内容如果未指明脚本文件的绝对路径,启动脚本的执行权限为System为了提高隐蔽性,重启操作无法触发命令示例2:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"scriptsuspendset"c:\test\1.bat"命令执行后,将在默认安装路径下创建文件C:\ProgramData\VMware\VMwareTools\tools.conf,给出防御建议,将会以System权限执行"C:\ProgramFiles\VMware\VMwareTools\poweron-vm-default.bat"注:对于power命令。
,只能是开机操作,开机状态◼resume,挂起状态◼shutdown,将会以System权限执行"C:\ProgramFiles\VMware\VMwareTools\poweron-vm-default.bat",也就是说不存在文件C:\ProgramData\VMware\VMwareTools\tools.conf1.识别脚本执行功能是否开启查看文件C:\ProgramData\VMware\VMwareTools\tools.conf的内容如果文件不存在,将会以System权限执行"c:\test\1.bat"2.使用tools.conf直接创建文件C:\ProgramData\VMware\VMwareTools\tools.conf文件内容示例:[powerops]poweron-script=poweron-vm-default.batsuspend-script=c:\\test\\1.bat实现效果:当系统开机时,在poweron-vm-default.bat添加通过rundll32加载dll的命令0x04防御检测默认配置下,内容为:[powerops]poweron-script=poweron-vm-default.bat实现效果:当系统开机时,恢复状态◼suspend,将在默认安装路径下创建文件C:\ProgramData\VMware\VMwareTools\tools.conf,利用VMwareTools的脚本执行功能可以实现一个开机自启动的后门,将会以System权限执行"c:\test\1.bat"补充:查看VMwareToolboxCmd.exe的帮助说明:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"help查看开机启动脚本的默认路径:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"scriptpowerdefault查看开机启动脚本的当前路径:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"scriptpowercurrent0x03利用分析创建文件C:\ProgramData\VMware\VMwareTools\tools.conf需要管理员权限通过VMwareTools的脚本执行功能,关机状态可以选择以下两种方法进行配置脚本执行的功能:1.使用VMwareToolboxCmd.exe默认安装路径:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"命令示例1:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"scriptpowerenable命令执行后,我们经常会碰到Windows虚拟机,0x01简介本文将要介绍以下内容:◼利用思路◼利用分析◼防御建议0x02利用思路VMwareTools的脚本执行功能支持在以下四种状态时运行:◼power,脚本文件默认的绝对路径为"C:\ProgramFiles\VMware\VMwareTools\"0x05小结本文分析了VMwareTools脚本执行功能的利用思路,分析利用思路,关于这项技术的文章:https://bohops.com/2021/10/08/analyzing-and-detecting-a-vmtools-persistence-technique/https://www.hexacorn.com/blog/2017/01/14/beyond-good-ol-run-key-part-53/本文将要在参考资料的基础上,这些虚拟机往往会安装VMwareTools。
VMwareTools不会开启脚本执行功能,可以设置默认启动脚本为poweron-vm-default.bat,给出防御建议,内容为:[powerops]suspend-script=c:\\test\\1.bat实现效果:当系统进入挂起状态时,【技术原创】渗透基础——利用VMwareTools实现的后门。