VMware ESX / vCenter Pentesting

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!

Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.

Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Opsporing

nmap -sV --script "http-vmware-path-vuln or vmware-version" -p <PORT> <IP>
msf> use auxiliary/scanner/vmware/esx_fingerprint
msf> use auxiliary/scanner/http/ms15_034_http_sys_memory_dump

Bruteforce

msf> auxiliary/scanner/vmware/vmware_http_login

As jy geldige geloofsbriewe vind, kan jy meer metasploit scanner modules gebruik om inligting te bekom.

ESXi Post-Exploitation & Ransomware Operations

Attack Workflow binne Virtual Estates

Ontwikkel: onderhou ’n liggewig bestuursagent (bv., MrAgent), encryptor (bv., Mario), en leak infrastruktuur.
Infiltreer: kompromiteer vSphere-bestuur, enumereer hosts, steel data, en stage payloads.
Ontplooi: stoot agente na elke ESXi-host, laat hulle C2 poll, en haal die encryptor af wanneer aangewys.
Afpers: leak proof-of-compromise data en voer ransom chats uit sodra enkripsie bevestig is.

Hypervisor Takeover Primitives

Sodra opdraguitvoering op ’n ESXi console/SSH-sessie verkry is, voer aanvallers tipies die volgende bestuur-opdragte uit om die host te fingerprint en te isoleer voordat ransomware ontplooi word:

uname -a                                   # hostname / build metadata for tracking
esxcli --formatter=csv network nic list    # adapter + MAC inventory
esxcli --formatter=csv network ip interface ipv4 get
esxcli network firewall set --enabled false
/etc/init.d/vpxa stop                      # cut vCenter off from the host
passwd root                                # rotate credentials under attacker control

Diezelfde agent hou gewoonlik ’n volgehoue lus wat ’n hardgekodeerde C2 URI bevra. Enige ontoeganklike status veroorsaak herhalings, wat beteken die beacon bly lewendig totdat operateurs instruksies stuur.

MrAgent-Style Instruksiekanaal

Liggewig-beheerdersagents openbaar ’n beknopte instruksieset wat uit die C2-wagry ontleed word. Daardie stel is genoeg om dosyne gekompromitteerde hypervisors te beheer sonder interaktiewe shells:

Instruksie	Effek
`Config`	Oorskryf die plaaslike JSON-konfigurasie wat teiken-lêergidse, uitvoeringvertraginge of throttleering definieer, en maak hot re-tasking moontlik sonder om binaries te herontplooi.
`Info`	Gee hypervisor-bou-inligting, IP’s en adapter-metadata terug wat met die `uname`/`esxcli` probes versamel is.
`Exec`	Begin die ransomware-fase: verander `root`-credentials, stop `vpxa`, skeduleer opsioneel ’n reboot-vertraging en trek dan die encryptor af en voer dit uit.
`Run`	Implementeer ’n remote shell deur arbitrêre, deur die C2 voorsiene opdragte na `./shmv` te skryf, chmod +x te gee en dit uit te voer.
`Remove`	Gee `rm -rf <path>` uit vir instrument-skoonmaak of destruktiewe uitwissing.
`Abort` / `Abort_f`	Stop inwagliggende enkripsies of beëindig lopende werkersdrade indien die operateur pos-reboot-aksies wil pauzeer.
`Quit`	Beëindig die agent en voer `rm -f` op sy binary uit vir vinnige selfverwydering.
`Welcome`	Misbruik `esxcli system welcomemesg set -m="text"` om lospryskennisgewings direk in die konsole-banner uit te wys.

Intern gebruik hierdie agents twee mutex-beskermde JSON-bolles (runtime-konfigurasie + status/telemetrie) sodat gelyktydige drade (bv. beaconing + enkripsie-werkers) gedeelde toestand nie korrupteer nie. Monsterlêers word gewoonlik met rommelkode gevul om oppervlakkige statiese analise te vertraag, maar die kernroetines bly onaangeraak.

Virtualisering- en rugsteunbewuste teikenkeuse

Mario-like encryptors gaan slegs deur deur die operateur verskafde direktoriumwortels en raak virtualiseringsartefakte wat saak maak vir besigheidskontinuïteit:

Extension	Target
`vmdk`, `vmem`, `vmsd`, `vmsn`, `vswp`	VM disks, memory snapshots and swap backing files.
`ova`, `ovf`	Portable VM appliance bundles/metadata.
`vib`	ESXi installation bundles that can block remediation/patching.
`vbk`, `vbm`	Veeam VM backups + metadata to sabotage on-box restores.

Operationele eienaardighede:

Elke besoekte gids ontvang How To Restore Your Files.txt voor enkripsie om te verseker dat lospryskanale selfs op ontkoppelde gasheerrekenaars geadverteer word.
Reeds verwerkte lêers word oorgeslaan wanneer hul name .emario, .marion, .lmario, .nmario, .mmario of .wmario bevat, en voorkom sodoende dubbel-enkripsie wat die aanvallers se decryptor sou breek.
Geënkripteerde payloads word hernoem met ’n *.mario-styl agtervoegsel (gewoonlik .emario) sodat operateurs dekking op afstand in konsole of datastore-lyste kan verifieer.

Gelaagde Enkripsie-opgraderings

Onlangse Mario-bouwerk vervang die oorspronklike lineêre, enkel-sleutel roetine met ’n spars, multi-sleutel ontwerp geoptimaliseer vir multi-honderd-gigabyte VMDKs:

Key schedule: Genereer ’n 32-byte primêre sleutel (gestoor rond var_1150) en ’n onafhanklike 8-byte sekondêre sleutel (var_20). Data word eers getransformeer met die primêre konteks en dan hergemeng met die sekondêre sleutel voor skyfskrywings.
Per-file headers: Metadata-buffers (bv. var_40) hou chunk-kaarte en vlae by sodat die aanvallers se private decryptor die sparse uitleg kan herbou.
Dynamic chunking: In plaas van ’n konstante 0xA00000-lus, word chunk-grootte en offsets op grond van lêergrootte herbereken, met drempels uitgebrei tot ongeveer 8 GB om by moderne VM-beelde te pas.
Sparse coverage: Slegs strategies gekose streke word geraak, wat runtime dramaties verminder terwyl VMFS-metadata, NTFS/EXT4-strukture binne die gasheer of rugsteunindekse steeds gekorrumpeer word.
Instrumentation: Opgradeer-boues log per-chunk byte-tellings en totalen (encrypted/skipped/failed) na stdout, wat affiliates telemetry tydens lewendige indringings gee sonder ekstra gereedskap.

Verwysings

Unit 42 – From Linear to Complex: An Upgrade in RansomHouse Encryption

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!

Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.

Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.