首页 网络安全 安全学院 查看内容

红队必备神器:不用进系统,直接扒光 Windows 虚拟机所有密码 ...

2026-4-23 21:01 896 0

摘要: VMkatz 是一个虚拟机版的 Mimikatz,专为虚拟化环境设计。它能在宿主机直接从内存快照或虚拟磁盘中,秒级提取 Windows 核心敏感凭证(如NT/LM哈希、Kerberos票据、BitLocker密钥等)。体积小巧(3MB),支持VMware、ESXi、Proxmox等全平台,极大提升红队实战的效率和隐蔽性,告别慢速大文件传输。
关键词:VMkatz, Windows, Mimikatz, Proxmox, VMware, VirtualBox, Hashcat, ESXi, 虚拟机文, 潇湘信安

在真实的红队攻防演练里,你大概率遇到过这种绝望场景:好不容易横向渗透到虚拟化集群的 NAS / 宿主机,眼前躺着几十上百台虚拟机文件 —— 域控、管理员工作站、核心业务服务器,全是高价值目标。

  • .vmdk、.vmsn、.sav 堆在一起,随便一个磁盘就是几十 GB、上百 GB。

  • 可你的出口带宽只有可怜的 200KB/s,想拖走一个镜像要等好几天。

  • 一边是慢到窒息的传输,一边是随时可能被 SOC 发现、链路被熔断的风险。

难道只能眼睁睁看着 “金库” 却拿不到钥匙?

现在,一个叫 VMkatz 的工具直接把这个问题解决了:不用下载虚拟机文件,直接在宿主机 / NAS / ESXi 上,原地提取 Windows 所有敏感凭证。


VMkatz 到底是什么?

简单说:它是一个虚拟机版的 Mimikatz,但更强、更轻巧、更适合实战。

仅约 3MB 的静态单文件工具,丢进 ESXi、Proxmox、NAS 或任何能访问虚拟机文件的机器里,直接读取:

虚拟机内存快照虚拟磁盘文件整个虚拟机目录
然后秒出 Windows 核心敏感数据,全程不需要启动虚拟机、不需要挂载磁盘、不需要拷贝大文件

它能从虚拟机里 “偷” 到什么?

1. 从内存快照(.vmsn/.vmem/.sav 等)

直接解析 LSASS 进程,支持 Mimikatz 全套 9 大 SSP 凭证:NT/LM 哈希、SHA1WDigest 明文密码Kerberos 票据、AES/RC4/DES 密钥(可导出 .kirbi/.ccache)RDP 会话明文密码DPAPI 主密钥缓存LSA 明文凭证凭据管理器存储密码Azure AD 令牌BitLocker FVEK 密钥

2. 从虚拟磁盘离线解析(.vmdk/.qcow2 /.vdi/.vhdx)

不用进系统,直接读磁盘分区与注册表:

SAM 哈希(本地账户)LSA 密钥、自动登录密码、机器账户密钥域缓存凭证 DCC2 哈希DPAPI 主密钥(直接支持 Hashcat 爆破)域控磁盘里的 NTDS.dit 全量 AD 哈希用内存提取的 FVEK 直接解密 BitLocker 加密盘

一句话:红队想要的凭证,它几乎全给你一次性吐出来。


支持哪些虚拟化环境?

VMkatz 兼容性拉满,主流虚拟化平台通吃:
  1. VMware:.vmsn、.vmem、.vmdk(ESXi / Workstation)
  2. VirtualBox:.sav、.vdi
  3. QEMU/KVM/Proxmox:qcow2、ELF 转储、savevm
  4. Hyper-V:.vmrs、.vhdx、.vhd
  5. 裸设备:VMFS、LVM 裸盘(ESXi 可绕过文件锁)
  6. 其他:注册表配置单元、NTDS.dit、LSASS minidump
支持系统从 Windows Server 2003 一路到 Windows 11 24H2 / Server 2025

实战怎么用?几条命令就够

VMkatz 用法极度简单,红队队员上手就会。

开启了 VIB 保护也不怕,自带 Python 加载器,不用改安全配置。

# 从快照提取凭证./vmkatz snapshot.vmsn
# 从虚拟磁盘脱机提哈希./vmkatz disk.vmdk
# 直接扫域控磁盘导出 NTDS 哈希./vmkatz --ntds dc-disk.qcow2
# 整个目录自动扫描./vmkatz /path/to/vm-folder/
# 输出 Hashcat 直破格式./vmkatz --format hashcat snapshot.vmsn
# 导出 Kerberos 票据./vmkatz --kirbi snapshot.vmsn./vmkatz --ccache snapshot.vmsn
# ESXi 环境直接运行(传个单文件,直接跑:)/tmp/vmkatz /vmfs/volumes/datastore1/MyVM/snapshot.vmsn

以下为我在本地拿之前的两个虚拟机快照文件进行的简单测试,更多强大功能大家自行了解测试...!!!

VMware(.vmsn)快照:

VirtualBox(.sav)快照:

cmd5.com 解密 NT Hash:


为什么红队一定要收藏 VMkatz?

1、极小体积,极易落地:单文件~3MB,静态编译,不依赖环境,传上去就能跑。

2、不拷贝大文件,极度隐蔽:传统方式要拖 100GB 镜像,现在只输出几 KB 的凭证,流量特征几乎没有。

3、全平台通吃:VMware、ESXi、Proxmox、Hyper-V、VirtualBox 全覆盖。

4、功能对标 Mimikatz,场景更强:面向虚拟化环境量身打造,离线 + 在线双模式,攻防演练杀伤力拉满。

5、支持批量扫描:一条命令递归扫整个存储库,批量 “洗” 出所有虚拟机密码。

对于常年和虚拟化环境、域环境打交道的安全人员来说:VMkatz 就是那种 “一旦用过,就再也回不去” 的神兵利器。
以后再碰到满是虚拟机的 NAS 或 ESXi,不用再去纠结下不下镜像了,直接丢个 VMkatz,密码、票据、哈希全带走。

本文出处: https://mp.weixin.qq.com/s/oNVcGPU3TrdDVKU4OCrJTA
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部