新思路完成渗透,难以防御的内存分析

将二进制空间安全设为"星标⭐️"

第一时间收到文章更新

攻击者通常有一个目标: 尽可能快、尽可能深入的挖掘有价值信息。但万一碰壁,无路可走的情况下该如何应对?内存取证分析也许能提供一条出路。比如好不容易拿到了对ESXi的访问权限, 但只能做快照, 无法将自己添加到ESXi域组中,也找不到任务未锁定的计算机, 那接下来该做什么?

Volatility 是一个内存取证工具，可以从 vmem 文件中提取 SAM 哈希值。这些哈希值可以用于从本地用户甚至无用户权限提升到域用户权限，进而实现更深层次的渗透。下面这个示例场景会展示整个过程。

想象一下，当黑客进入了一张网络，发现某台服务器存在 IPMI 哈希泄露漏洞。随即导出哈希并成功破解，然后登录该服务器，注意到它托管着 ESXi。从这里开始，黑客尝试用刚才的凭证登录 ESXi，结果竟然成功了。那下一步做什么？当然他可以选择“遍历”的方式，去尝试每一个虚拟机，碰碰运气。但更稳妥的做法是，找到一个 Windows 虚拟机，拍个快照，从中提取管理员凭据，再中继这些凭据以静默方式转储 LSA，拿到域账户，而不会引起任何怀疑。

首先，确保拥有相应权限，然后对一个加入域的 Windows 虚拟机进行快照操作。如图:

确保勾选“包括虚拟机内存（Include Virtual Machine’s Memory）”选项。

快照完成后，找到快照文件夹，定位到 vmem 文件，并将其下载到一台 Linux 主机上。

拿到文件后，接下来就是下载 Volatility 工具。命令如下:

git clone https://github.com/volatilityfoundation/volatility3.git cd volatility3/ python3 -m venv venv && . venv/bin/activate pip install -e .[dev]

安装完成后，就可以开始提取本地管理员的 SAM 凭据了。

以下命令也可以用来判断当前使用的是哪个 EDR 工具：

python3 vol.py -f ~/Downloads/virtualmachine.vmem windows.pslist

python3 vol.py -f ~/Downloads/virtualmachine.vmem windows.hashdump.Hashdump

Netexec smb <IP> -u Administrator -H <HASH> --local-auth --lsa

原文始发于微信公众号（二进制空间安全）：新思路完成渗透,难以防御的内存分析