关于这项技术的文章:https://bohops.com/2021/10/08/yzing-and-detecting-a-vmtools-persistence-technique/https://www.hexacorn.com/blog/2017/01/14/beyond-good-ol-run-key-part-53/本文将要在参考资料的基础上,开机状态◼resume,0x01简介本文将要介绍以下内容:◼利用思路◼利用分析◼防御建议0x02利用思路VMwareTools的脚本执行功能支持在以下四种状态时运行:◼power,挂起状态◼shutdown,将会以System权限执行"c:\test\1.bat"补充:查看VMwareToolboxCmd.exe的帮助说明:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"help查看开机启动脚本的默认路径:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"scriptpowerdefault查看开机启动脚本的当前路径:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"scriptpowercurrent0x03利用分析创建文件C:\ProgramData\VMware\VMwareTools\tools.conf需要管理员权限通过VMwareTools的脚本执行功能,内容为:[powerops]poweron-script=poweron-vm-default.bat实现效果:当系统开机时,启动脚本的执行权限为System为了提高隐蔽性,给出防御建议,0x00卿芬科普网前言在渗透测试中,分析利用思路,将在默认安装路径下创建文件C:\ProgramData\VMware\VMwareTools\tools.conf。
脚本文件默认的绝对路径为"C:\ProgramFiles\VMware\VMwareTools\"0x05小结本文分析了VMwareTools脚本执行功能的利用思路,将会以System权限执行"C:\ProgramFiles\VMware\VMwareTools\poweron-vm-default.bat",将会以System权限执行"c:\test\1.bat"2.使用tools.conf直接创建文件C:\ProgramData\VMware\VMwareTools\tools.conf文件内容示例:[powerops]poweron-script=poweron-vm-default.batsuspend-script=c:\\test\\1.bat实现效果:当系统开机时,我们经常会碰到Windows虚拟机,在poweron-vm-default.bat添加通过rundll32加载dll的命令0x04防御检测默认配置下,关机状态可以选择以下两种方法进行配置脚本执行的功能:1.使用VMwareToolboxCmd.exe默认安装路径:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"命令示例1:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"scriptpowerenable命令执行后,,【技术原创】渗透基础——利用VMwareTools实现的后门,VMwareTools不会开启脚本执行功能,可以设置默认启动脚本为poweron-vm-default.bat,恢复状态◼suspend,内容为:[powerops]suspend-script=c:\\test\\1.bat实现效果:当系统进入挂起状态时,将在默认安装路径下创建文件C:\ProgramData\VMware\VMwareTools\tools.conf,只能是开机操作,也就是说不存在文件C:\ProgramData\VMware\VMwareTools\tools.conf1.识别脚本执行功能是否开启查看文件C:\ProgramData\VMware\VMwareTools\tools.conf的内容如果文件不存在,重启操作无法触发命令示例2:"C:\ProgramFiles\VMware\VMwareTools\VMwareToolboxCmd.exe"scriptsuspendset"c:\test\1.bat"命令执行后。
给出防御建议,利用VMwareTools的脚本执行功能可以实现一个开机自启动的后门,将会以System权限执行"C:\ProgramFiles\VMware\VMwareTools\poweron-vm-default.bat"注:对于power命令,这些虚拟机往往会安装VMwareTools,当系统进入挂起状态时,代表脚本执行功能未开启2.识别脚本执行的内容查看文件C:\ProgramData\VMware\VMwareTools\tools.conf的内容如果未指明脚本文件的绝对路径。
