[译]Thanks
如今虚拟化在各个企业中应用的越来越多,且火热的云计算也依托于此技术。虚拟化技术确实能够使物理资源的利用更加灵活和便捷,那么虚拟机的安全性如何?相比传统架构,是否像传说中的一样安全?
什么是虚拟化
我们先来看看虚拟机的层次结构图
虚拟机完全独立于其底层物理硬件。 例如,你可以为虚拟机配置与底层硬件上存在的物理组件完全不同的虚拟组件(例如,CPU、网卡、SCSI 控制器)。 同一物理服务器上的各个虚拟机甚至可以运行不同类型的操作系统(Windows、Linux 等)
针对虚拟机的渗透测试
使用前需要先解压,然后复制metasploit文件夹下中
VASTO的主要模块如下,功能还是比较强大的
用于判断VM的版本等信息
<a href="http://static.freebuf.com/2012/11/2.jpg"></a>
这个模块可以使用字典尝试暴力登录虚拟机
<a href="http://static.freebuf.com/2012/11/3.jpg"></a>
vilurker module
这个模块原理即利用ettercap等进行中间人攻击,欺骗成功后,当被攻击者(client)访问server时会弹出窗体,若点击即反弹一个meterpreter。
先multi/handler监听
欺骗过程如下
<a href="http://static.freebuf.com/2012/11/4.jpg"></a>
返回shell(meterpreter)
<a href="http://static.freebuf.com/2012/11/5.jpg"></a>
参考
<a href="http://www.s3cur1ty.de/vmware-attack-toolkit-vasto">http://www.s3cur1ty.de/vmware-attack-toolkit-vasto</a>