在参加攻防演练的时候遇到了很多次vCenter，获取到vCenter的shell之后，往往会进一步获取ESXI和vCenter的web权限。

但是在攻防演练的时候，ESXI或vCenter中的机器很多都是锁屏状态的，需要密码才可以进去

那么在不知道密码的情况下如何进入锁屏机器呢？结合自身实战经验并对网上的方法总结整理，在本地搭建环境测试，总结了以下几个方法。

克隆机器

在实战过程中，抓取机器的hash，难免会有重启或关机等操作，为了不影响客户的业务，更为了安全起见，所有操作都是针对克隆的机器进行的。

克隆机器的详细步骤如下：

点击 '操作' --> '克隆' --> '克隆到虚拟机'

填写虚拟机名称，一直下一步即可

成功克隆一个机器

KonBoot引导

通过加载KON-BOOT镜像文件绕过密码登录进入操作系统

https://kon-boot.com/

注意：此方法需要重启机器

上传kon-boot的iso镜像文件到vCenter存储中

选择克隆主机，点击 '操作' --> '编辑设置'

在'虚拟硬件'中'网络适配器1*'勾选'连接'

选择'CD/DVD驱动器1*'，'CD/DVD介质'点击'浏览'，选择上传的iso镜像

在'虚拟机选项'--> '引导选项'中勾选'下次引导期间强制进入BIOS设置屏幕'

然后重启机器，进入BIOS页面。选择'Boot'，把'CD-ROM Drive'移到最上面，按F10退出即可。

先移动到'CD-ROM Drive'，再'Shift++'即可向上移动

yes，回车

等待目标机器重启

开机之后这样，发现还要密码

直接回车即可进入系统

进入系统之后，在vCenter页面，修改挂载的iso文件

这里挂载的iso文件是自己制作的iso，里面包含有抓密码的工具

挂载好之后，虚拟机会弹出一个框

打开即可看到我们的工具

以管理员方式运行cmd，导出sam和system文件

用mimikatz解密

拿这个密码去登录原主机即可

注意：在实战中直接上传一个真实的ISO镜像文件不太方便，我们往往只需要某一个工具，这种情况下，我们可以把需要的文件制作成一个ISO镜像

挂载vmdk

新建虚拟机或者找一台可控虚拟机挂载克隆后虚拟机的vmdk

注意：这个过程中虚拟机要关机，开机状态机器的vmdk是锁定的

查看克隆机器的磁盘文件位置，在'编辑设置' --> '硬盘1'中

然后再编辑设置一台可控的机器，在'虚拟硬件'中'添加新设备'，点击'现有硬盘'

选择克隆的虚拟机的vmdk

进入可控机器

执行'diskmgmt.msc'，右键'联机'

此时就可以正常看到联机挂载的磁盘了

然后将以下文件下载到本地

C:\Windows\NTDS\NTDS.dit   域环境下才有C:\Windows\System32\config\SYSTEMC:\Windows\System32\config\SAM

怎么把上述文件下载到本地？

1.禁用客户机操作系统和远程控制台之间的复制和粘贴操作

2.在我们可控的虚拟机上开启共享文件夹

下载到本地之后执行如下命令

# dump 本地 hashpython3 secretsdump.py -sam SAM -system SYSTEM local

注意：利用完成后别忘了取消挂载，去虚拟机设置里面移除该硬盘。

抓取内存快照hash

在vCenter web页面制定目标机器生成快照，在数据存储中找到目标机器快照的'.vmem文件'或者'.vmsn文件'，下载到本地

或者使用'pysharpsphere'对指定目标机器拍摄快照，然后下载到本地

执行命令获取内存镜像的操作系统版本信息

volatility_2.6_win64_standalone.exe -f win7-Snapshot2.vmem imageinfo

执行命令dump hash

# dump hashvolatility_2.6_win64_standalone.exe -f win7-Snapshot2.vmem --profile=Win7SP1x64 hashdump

'volatility'的用法参考：

https://www.cnblogs.com/junglezt/p/16027761.htmlhttps://www.volatilityfoundation.org/releases

注意：机器快照文件往往很大，实战时网络一般不好，短时间内可能无法把快照文件下载到本地

PE系统绕过

利用PE工具绕过开机密码登录目标操作系统

把制作好的pe镜像上传到vCenter存储中

选中目标虚拟机，编辑设置

在'虚拟硬件' --> 'CD/DVD驱动器'处勾选'打开电源时连接'，选择镜像文件

在'虚拟机选项' --> '引导选项'，勾选'下次引导期间强制进入 BIOS 设置屏幕'。

设置完成之后，打开虚拟机，设置引导，进行如下配置。

选择Boot，把'CD-ROM Drive'移到最上面，按'F10'，选择'Yes'退出即可

开机进入PE系统

根据实际情况拷贝以下内容，将PE文件中的工具拷贝到目标磁盘上

# 本地hashC:\Windows\System32\config\SYSTEMC:\Windows\System32\config\SAM # 如果目标是DC服务器，还可以导出ntds.dit文件读全域hashC:\Windows\NTDS\NTDS.dit

注意：目标系统在重启之后，原来系统的 C 盘会变更为 D 盘

在PE中无法执行'mimikatz'命令

直接修改系统密码

点击'保存修改'，然后关机

再点击'编辑设置'，在'CD/DVD驱动器'取消勾选'打开电源时连接'

'虚拟机选项' --> '引导选项'中取消勾选'下次引导期间强制进入 BIOS 设置屏幕'

开机，输入修改后的密码即可进入系统

然后用刚才拷贝的工具和文件解密即可（此处的SAM和SYSTEM文件是修改密码之前的，即原密码文件）

mimikatz.exe "log" "lsadump::sam /sam:SAM /system:SYSTEM" exit

将NTML Hash进行解密

https://hashes.com/en/decrypt/hashhttps://www.cmd5.com/

实战过程中，vCenter还是比较常见的，如果能拿下vCenter收获往往会很大，但是在测试的时候更需要耐心细心，需要注意以下几点：

    1.vCenter，外号小域控，拿下vCenter就可以控制很多机器

    2.在操作过程中，难免会有重启、关机等敏感操作，慎重！慎重！慎重！

    3.尽量克隆一台机器，在克隆机器上面操作

https://jingyan.baidu.com/article/20b68a8852d31f386dec6230.htmlhttps://mp.weixin.qq.com/s/Okxc4CdFRPe82UHN4UXQHQhttps://mp.weixin.qq.com/s/JI3YlyComDViFX31UE8ddAhttps://mp.weixin.qq.com/s/-cEf0bG8j_8VdoSEeMsNGwhttps://mp.weixin.qq.com/s/DbXxm6vWgtL8uGjO_z-ocAhttps://www.cnblogs.com/junglezt/p/16027761.html

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！