SharpSphere brinda a los equipos de red la capacidad de interactuar fácilmente con los sistemas operativos invitados de las máquinas virtuales administradas por vCenter. Utiliza la API de vSphere Web Services y expone las siguientes funciones:
- Comando y control – En combinación con C3 de F-Secure, SharpSphere proporciona C&C en las VM mediante VMware Tools, sin pobreza de conectividad de red directa a la VM de destino.
- Ejecución de código – Permite que se ejecuten comandos arbitrarios en el sistema operante invitado y devuelve el resultado
- Subir archivo – Permite que se carguen archivos arbitrarios en el sistema operante invitado
- Descarga de archivos – Permite descargar archivos arbitrarios desde el sistema operante invitado
- Nómina de máquinas virtuales – Enumera las máquinas virtuales administradas por vCenter que tienen VMware Tools en ejecución.
- Volcado de memoria – Descargue y descargue la memoria de la VM, luego extraiga manualmente las credenciales de LSASS sin conexión usando WinDbg y Mimikatz (Plano)
SharpSphere admite la ejecución a través de Cobalt Strike’s ejecutar-ensamblar.
Compilacion
Las versiones compiladas se pueden encontrar aquí.
Si compila usted mismo, necesitará usar ILMerge
para combinar SharpSphere.exe y CommandLine.dll en el Releases
carpeta.
Uso
Ayuda de SharpSphere.exe
list Nómina todas las máquinas virtuales administradas por este vCenter
ejecutar Ejecutar el comando cubo en la máquina imaginario de destino
c2 Ejecute C2 usando el módulo VMwareShareFile de C3
cargar Cargar archivo a la VM de destino
descargar Descargar archivo de la máquina imaginario de destino
help Muestra más información sobre un comando específico.
interpretación Muestra información sobre la interpretación.
Nómina de SharpSphere.exe: ayuda
–Url Requerido. URL de vCenter SDK, es proponer, https://127.0.0.1/sdk
-Nombre de heredero (requerido. Nombre de heredero de vCenter, es proponer, [email protected]
-Se requiere contraseña. contraseña de vCenter
SharpSphere.exe ejecutar –ayuda
–Url Requerido. URL de vCenter SDK, es proponer, https://127.0.0.1/sdk
-Nombre de heredero (requerido. Nombre de heredero de vCenter, es proponer, [email protected]
-Se requiere contraseña. contraseña de vCenter
–Ip Requerido. Dirección IP de la máquina imaginario de destino
–Guestusername Obligatorio. Nombre de heredero utilizado para autenticarse en el sistema operante invitado
–Guestpassword Obligatorio. Contraseña utilizada para autenticarse en el sistema operante invitado
–Comando Requerido. Comando para ejecutar
–Output (Predeterminado: aparente) Marca para admitir la salida. Creará un archivo temporal en C: Users Public en el
invitado para custodiar la salida. Luego, se descarga e imprime en la consola y se elimina el archivo.
SharpSphere.exe c2: ayuda
–Url Requerido. URL de vCenter SDK, es proponer, https://127.0.0.1/sdk
-Nombre de heredero (requerido. Nombre de heredero de vCenter, es proponer, [email protected]
-Se requiere contraseña. contraseña de vCenter
–Ip Requerido. Dirección IP de la máquina imaginario de destino
–Guestusername Obligatorio. Nombre de heredero utilizado para autenticarse en el sistema operante invitado
–Guestpassword Obligatorio. Contraseña utilizada para autenticarse en el sistema operante invitado
–Localdir Obligatorio. Ruta completa al directorio C3 en esta máquina
–Guestdir Obligatorio. Ruta completa al directorio C3 en el sistema operante invitado
–Inputid Obligatorio. ID de entrada configurada para el relé C3 que se ejecuta en esta máquina
–Outputid Obligatorio. ID de salida configurada para el relé C3 que se ejecuta en esta máquina
Carga de SharpSphere.exe: ayuda
–Url Requerido. URL de vCenter SDK, es proponer, https://127.0.0.1/sdk
-Nombre de heredero (requerido. Nombre de heredero de vCenter, es proponer, [email protected]
-Se requiere contraseña. contraseña de vCenter
–Ip Requerido. Dirección IP de la máquina imaginario de destino
–Guestusername Obligatorio. Nombre de heredero utilizado para autenticarse en el sistema operante invitado
–Guestpassword Obligatorio. Contraseña utilizada para autenticarse en el sistema operante invitado
–Fuente Requerido. Ruta completa al archivo recinto para cargar
–Destino requerido. Ruta completa a la ubicación donde se debe cargar el archivo
Descarga de SharpSphere.exe: ayuda
–Url Requerido. URL de vCenter SDK, es proponer, https://127.0.0.1/sdk
-Nombre de heredero (requerido. Nombre de heredero de vCenter, es proponer, [email protected]
-Se requiere contraseña. contraseña de vCenter
–Ip Requerido. Dirección IP de la máquina imaginario de destino
–Guestusername Obligatorio. Nombre de heredero utilizado para autenticarse en el sistema operante invitado
–Guestpassword Obligatorio. Contraseña utilizada para autenticarse en el sistema operante invitado
–Fuente Requerido. Ruta completa en el invitado al archivo para cargar
–Destino requerido. Ruta completa al directorio recinto donde se debe descargar el archivo
Volcado de SharpSphere.exe: ayuda
–Url Requerido. URL de vCenter SDK, es proponer, https://127.0.0.1/sdk
-Nombre de heredero (requerido. Nombre de heredero de vCenter, es proponer, [email protected]
-Se requiere contraseña. contraseña de vCenter
–Targetvm Obligatorio. VM a instantánea
–Snapshot (Predeterminado: aparente) ADVERTENCIA: Crea y luego elimina una instantánea. Si no se configura, SharpSphere solo
extraer memoria de la última instantánea existente, o ninguna si no hay instantáneas disponibles.
–Destino requerido. Ruta completa al directorio recinto donde se debe descargar el archivo
Funciones futuras
- Añadir soporte para el sistema operante invitado Linux
- Incluir un
--verbose
opción para registrar máquinas virtuales - Agrega un
--quiet
bandera para no mencionar cada paquete que se transfiere - Agrega un
--testauth
marca para confirmar que las credenciales de invitado son válidas