Escalado de privilegios en Arch Linux 3.7 (sock_diag_handlers[])

Como seguro ya habréis leído, o si no ya os lo contamos nosotros XD, hace unos días salió a la luz un exploit que permite el escalado de privilegios en las versiones de kernel de Linux más recientes (3.3 a 3.8).

Este exploit se aprovecha de un fallo del subsistema Netlink del Kernel. Concretamente un usuario sin privilegios puede enviar un mensaje solicitando  SOCK_DIAG_BY_FAMILY con un valor mayor o igual que AF_MAX (el tamaño del array de sock_diag_handlers[]) que provoca un acceso fuera de límites (el out-of-bound tan típico de C) y por tanto permite por tanto la ejecución de código para el escalado de privilegios (obtención de root).

El bug se venía conociendo en secreto desde mediados de 2012 y al parecer alguien lo hizo público por error en Pastebin. También han salido ya parches para solucionarlo pero, ¿a qué no te crees que si quiera de la mitad de los sistemas vulnerables sean actualizados en los próximos meses? ¡Bingo!

Además, ayer también se publicó en exploit-db un sencillo exploit para Archlinux x86-64 3.3.x-3.7.x, justamente la distribución que vengo usando para la Raspberry Pi, así que ¡vamos a probarlo!: 

Otro fallo permite saltarse el código de bloqueo del iPhone (o cualquier iOS 6.1.2)


Recientemente Vulnerability Lab ha descubierto otro bug en iOS 6.1 que permite saltarse el código de bloqueo del iPhone, por lo que cualquiera podría acceder a un teléfono vulnerable y ver las fotos y contactos conectándolo a un PC por USB.

Los pasos para explotar la vulnerabilidad son los siguientes:

1. Conecta el dispositivo a iTunes y al AppStore para asegurarte de que el código de bloqueo está activado
2. Pulsa el botón de encendido (arriba|derecha)
3. El móvil se endenderá y se mostrará el código de bloqueo
4. Ahora pulsa el botón de la llamada de emergencia
5. Marca cualquier número de emergencia (por ejemplo 911, 110 y 112)
6. Llama al número y cancela la llamada inmediatamente antes de la conexión
7. Pulsa de nuevo el botón de encendido y después el botón central del iPhone
8. En el siguiente paso presiona el botón de encendido 3 segundos y en el tercer segundo presiona también a la vez el botón central y el botón de llamada de emergencia
9. Después de presionar los 3 botones simultáneamente suelta primero el botón central del iPhone y luego el botón encendido
10. La pantalla del iPhone se mostrará de color negro (blackscreen)
11. Conecta por USB el teléfono al PC y podrás acceder a los archivos directamente sin el PIN de acceso.

Nota: Sin embargo hay una limitación importante: el sistema de ficheros de iOS está cifrado por lo que sólo se podrán obtener los ficheros si se ha accedido antes desde el PC al iPhone.

Port knocking para añadir una segunda capa de protección a SSH

Una vez configurado el servicio SSH de nuestra Raspberry Pi con dos factores de autenticación, vamos a añadir una segunda capa de protección: port knocking o golpeo de puertos, que no es más que un mecanismo para abrir puertos externamente si se recibe cierta conexión o conexiones a puertos cerrados. Digamos que es cómo un santo y seña para mostrar una "puerta oculta"...

Tradicionalmente se suele hacer port knocking con knockd o incluso sólo con iptables mediante la recepción de una secuencia preestablecida de intentos de conexión a distintos puertos cerrados. Sin embargo, a veces hay errores en la recepción de la secuencia de puertos y sobretodo el sistema es vulnerable a ataques MiTM que pueden poner en evidencia las carencias de esta técnica de seguridad por oscuridad, por lo que siempre ha de utilizarse esta técnica con una medida adicional de seguridad, nunca cómo la única.

También he de decir que las últimas herramientas de port knocking como fwknop ya implementan el uso de un Paquete Único de Autorización cifrado (incluso con clave asimétrica) que mejoran la seguridad en este aspecto, si bien necesitarás normalmente instalar y configurar el cliente de una forma menos convencional.
Por esa razón para nuestra pequeña Raspberry nos conformaremos simplemente con instalar knockd y usar una simple secuencia de tres puertos que, si lo piensas bien, tampoco es poca cosa: si por ejemplo utilizamos los puertos 1000, 2000, 3000, un atacante tendría que probar cada combinación de tres puertos en un rango de 65535 posibles, por lo que necesitaría  una media de 9 trillones de paquetes para poder obtener un único puerto abierto. Así de sencillo pero efectivo ;)

Usando LiME y Volatility para analizar la memoria en Linux

LiME (Linux Memory Extractor) es un módulo LKM (Loadable Kernel Module) que permite la adquisición de la memoria volátil de sistemas Linux o basados en Linux tales como Android. De hecho es la única herramienta que permite obtener un volcado completo de la memoria en dispositivos Android. Fue presentada en la conferencia ShmooCon 2012 (donde también se conocía como DMD) y permite la extracción de la memoria incluso por red, algo muy útil para llevarnos la imagen a otro sitio para realizar un forense.

En el siguiente vídeo veremos precisamente cómo preparar el módulo LiME y el perfil de Volatility en el kernel de Linux del objetivo (en este caso un Backtrack), localizar el historial bash con gdb, copiar el volcado de memoria a través de la red al servidor e inspeccionar la memoria con Volatility para encontrar el susodicho historial:

El primer cajero automático de Bitcoins del mundo


Zach Harvey tiene un ambicioso plan para acelerar la adopción de la alternativa favorita a la moneda en Internet: la instalación de miles de cajeros automáticos en bares, restaurantes y tiendas que permitirán comprar Bitcoins de forma anónima.

Será más o menos lo contrario a un cajero automático que dispensa el dinero tradicional. En su lugar, estos cajeros automáticos de Bitcoins aceptarán billetes de dólar - con el mismo mecanismo de validación de las máquinas expendedoras - y el importe de Bitcoins se depositará al instante en la cuenta correspondiente.

"Es incluso más fácil que utilizar un cajero automático convencional", dice Harvey de 33 años, qué enseñó el dispositivo a CNET en el Free State Project's annual Liberty Forum este fin de semana. "Probablemente se puede hacer en unos cinco segundos. Lo que más tarda es el validador de billetes al manejar el dólar".

Fuente: c|net 

Actualización 29/10/2013: El primer cajero de bitcoins comenzará a funcionar esta semana

El todavía desconcertante rootkit para sshd/libkeyutils

Desde hace unos pocos días se está hablando mucho de un rootkit para SSHD, bastante similar al troyano Ebury, que parece afectar a rpms de muchas distribuciones y aplicaciones incluyendo CloudLinux, CentOS, cPanel, DirectAdmin, Plesk, no-RHEL... y que suele utilizarse para el envío de spam. Se trata de la librería libkeyutils "troyanizada" y todavía se desconoce el vector inicial de ataque, ya que los atacantes necesitarían permisos de root en los servidores comprometidos para sustituirla.

En principio esta librería aparece ofuscada con un simple XOR. Su código decodifica ciertas cadenas de texto e instala lo necesario para funcionar. Es capaz de resolver símbolos para las funciones PEM_write_RSAPrivateKey, PEM_write_DSAPrivateKey, MD5_Init, MD5_Update y MD5_Finaly también hookea las funciones pam_authenticate, pam_start, crypt, audit_log_user_message y audit_log_acct_message para modificar el funcionamiento de SSHD en modo usuario (no afecta al kernel). Es decir, la principal actividad del rootkit es recolectar las credenciales de los usuarios autenticados. Y no sólo un usuario/contraseña, también es capaz de obtener las claves privadas RSA/DSA o cualquier otro mecanismo de autenticación utilizado.
Además al hookear las funciones audit_log*, si el atacante envía cualquier comando al backdoor no se creará ningún log.

Segundo factor de autenticación en sshd para Raspberry Pi (Arch Linux)

Hace tiempo ya vimos cómo configurar el servicio sshd de un BackTrack 5 para que utilice una clave TOTP (time-based one-time password) mediante el módulo PAM de Google Authenticator. Luego generábamos una clave secreta (en base 32) y la utilizábamos en la aplicación de nuestro teléfono móvil para tener siempre a mano el código que se genera secuencialmente cada 30 segundos.

Ahora implementaremos también ese segundo factor de autenticación en el servicio sshd de nuestro Arch Linux en la Raspberry Pi, pero esta vez sólo nos pedirá el código cuando la IP del cliente ssh no esté incluida en una lista blanca. El motivo está claro: es un auténtico coñazo tener que estar introduciendo el código cada vez que iniciamos una nueva sesión y es algo que quiero evitar al menos si estoy conectándome desde el equipo de casa.

Para ello y basándonos fundamentalmente en una entrada de moocode, forzaremos la ejecución de un script en Ruby después de validarnos con el primer método de autenticación (normalmente la típica contraseña). Este script primero comprobará si la IP del cliente ssh está en el fichero 'ips.txt' del usuario y, en el caso de no estarlo, no devolverá una shell hasta que el código TOTP sea correcto. Bastante sencillo como véreis a continuación.

PALADIN: suite forense gratuita


PALADIN es un distribución Live basada en Ubuntu que simplifica el proceso de creación de imágenes forenses. La versión en DVD es totalmente gratuita y permite clonar el disco o crear imágenes en local o a través de red, realizar dos clonados o imagenes simultáneamente y utilizar varios formatos incluyendo Expert Witness (.E01), EWF2 (.Ex01), Apple Disk Image (.dmg), RAW (.dd), SMART y AFF. Incluso es posible realizar directamente una imagen en formato Virtual Disk Format (.vmdk)!

Además incluye un buen arsenal de herramientas forenses de código abierto que aumentarán tus posibilidades. Por ejemplo podrás realizar un completo análisis forense con Autopsy/Sleuthkit o DFF, recuperar contraseñas en memoria con Inception, analizar ficheros de backup de iOS y mucho, mucho más. Sin duda una distribución que merece la pena probar...

http://www.sumuri.com/index.php/joomla/what-is-paladin-forensic-software

Shoryuken: simple script en bash para obtener un shell explotando SQLi

Shoryuken es un sencillo script para bash que podemos utilizar para explotar rápidamente una aplicación web con el backend DBMS en la misma máquina, vulnerable a inyecciones SQL y pobremente pésimamente configurada.

La versión actual puede obtener una sesión remota por el puerto 80/HTTP explotando hosts con MSSQL o MySQL que se ejecutan con usuarios con privilegios elevados (system o root), todo ello con una única petición HTTP: el shoryuken (el famoso golpe de Ryu o Ken que significa "puño del dragón" en japonés).


Fácil de usar y bastante indetectable en TEST MODE (1 petición), necesitaremos tener curl instalado:

shoryuken=$(curl -A $agent -s -i "$target$mssqli&$param$mysqli")

Web del proyecto: http://code.google.com/p/shoryuken/

Libro: “Security Engineering” de Ross Anderson

No queríamos empezar el fin de semana sin antes recomendaros una interesante lectura para todos aquellos que decidáis dedicar vuestro tiempo libre a la lectura y el conocimiento. Se trata de la segunda edición de “Security Engineering” de Ross Anderson, una obra cuyo propósito es dar una sólida introducción a la ingeniería de seguridad tal como la entendemos en el inicio del siglo XXI, con un repaso increíble a todas las tecnologías subyacentes.

Totalmente recomendable y ¡ahora puedes leer todos los capítulos gratis!

Ten siempre en hora tu Raspberry Pi con NTP

Si recordáis, hace poco instalé Arch Linux ARM en mi Raspberry Pi y una de las primeras tareas fue cambiar la zona horaria. Sin embargo, al reiniciar el dispositivo, la fecha del sistema siempre arranca en epoch, es decir, el 1 de enero de 1970 (más información en una de nuestras pasadas y apocalípticas entradas). La razón está clara, ¿a qué no has visto ninguna pila en la placa?. Efectivamente, Raspberry Pi no dispone de reloj RTC...

Ahora tenemos tres opciones: 1/ añadir y configurar nuestro propio reloj de sistemas por hardware-reloj, 2/ hacer una "ñapa" por software tipo fake-hwclock (salvar la hora en un fichero y cargarla al inicio) o 3/ ser más precisos e instalar NTP para sincronizar la hora, que es la solución más barata y eficiente si nuestra RPi tiene conexión a red en el arranque. Así que ¡vamos con ello!
   
Entre ntpd o openntpd (ntpdate está ya discontinuado) me quedo con el primero. Así que empezamos a instalarlo:

Instalar metasploit en iOS 6.1: iPad para profesionales de la seguridad informática

¿Te apasiona la seguridad informática, tienes tu IPad actualizado con IOS 6.1 y ya has hecho Jailbreak con Evasi0n? Pues seguro que te interesa esto... en el siguiente vídeotutorial Japtron nos enseña como instalar Metasploit en unos sencillos pasos: 


Y para facilitarte la tarea, también puedes encontrar los comandos por escrito gracias a m4ku4z:

Lista de recursos para evadir CAPTCHAs

Quizás seas un malévolo spammer y quieras evitar esos molestos CAPTCHAs para que tu bot pueda automatizar cierto proceso, o quizás sólo por placer... 
A continuación os dejo una lista de recursos cortesía de Karl Groves con distintas técnicas y software para evadir CAPTCHAs. Aviso que algunos de los métodos descritos ya no funcionan, pero tenéis delante un excelente recopilatorio (en inglés) que demuestra la continua batalla contra la Prueba de Turing pública y automática para diferenciar máquinas y humanos (sí, lo he dicho):
  1. Breaking a Visual CAPTCHA
  2. Breaking CAPTCHA without OCR
  3. Breaking the Paypal.com CAPTCHA
  4. Breaking e-banking CAPTCHAS
  5. Breaking the ASP Security Image Generator
  6. PWNtcha – CAPTCHA Decoder
  7. aiCaptcha – Using AI to beat CAPTCHA and post comment spam
  8. Arstechnica – Gone in 60 seconds: Spambot cracks Live Hotmail CAPTCHA
  9. Slashdot – Yahoo CAPTCHA Hacked
  10. Slashdot Gmail CAPTCHA Cracked

Instalando Arch Linux ARM en Raspberry Pi

Ahora que conozco qué es Raspberry Pi he estado pensando muy bien para que utilizarlo. Empecé leyendo una entrada de Xataka en la que definen muy bien diez ideas para utilizar Raspberry Pi en casa y estuve haciéndome unas pequeñas reflexiones... 

Primero ya tengo un media center, por lo que instalar OpenELEC, Raspbmc o XBian queda descartado. También tengo en mi portatil y en el del trabajo máquinas virtuales con Backtrack, así que instalar otra distribución de seguridad como Pwn Pi, Pwnpi.net o Ha(ck with Raspberry)Pi sería cuanto menos redundante (y algo enfermizo, sí).

Por otro lado siempre me ha llamado mucho la atención la domótica, y concretamente el funcionamiento de RPi con Arduino o el proyecto libre OpenDomo, si bien considero que para empezar en mi caso es demasiado pretencioso (comprar más componentes, acometer instalaciones en casa, mi chica me mata, etc.).

También he pensado en instalar varias distribuciones en la tarjeta SD con Berryboot, pero ¿por qué no empezar mejor con una multipropósito e ir instalando y personalizando lo que vaya necesitando?. Eso me lleva fundamentalmente a descartar Raspbian a favor de Arch Linux ARM, un sistema en base más simple que permite un mayor control al usuario para moldearlo según sus necesidades. Pinta bien, así que si os animáis a instalar conmigo este sistema operativo...

Graves vulnerabilidades en routers D-Link DIR-300 y DIR-600

El experto de seguridad Michael Messner ha identificado varias vulnerabilidades en los routers D-Link DIR-300 y DIR-600 que pueden permitir a un atacante ejecutar comandos arbitrariamente con suma facilidad.

En concreto, Messner describe en su blog como un simple parámetro en una petición POST permite la ejecución de comandos linux con permisos de root en los routers vulnerables, sin pedir ningún tipo de autenticación:

curl --data "cmd=ls" http:///command.php

Haciendo unas búsquedas simples en Shodan nos daremos cuenta del gran número de estos routers que son públicos en Internet:

http://www.shodanhq.com/search?q=Server%3A+Linux%2C+HTTP%2F1.1%2C+DIR-300
http://www.shodanhq.com/search?q=Server%3A+Linux%2C+HTTP%2F1.1%2C+DIR-600


E incluso si no fueran públicos se podría explotar algún CSRF mandando a un usuario por correo un enlace malicioso... sólo hay que ejecutar '%s' o 'telnetd' para obtener un shell o 'cat var/passwd' para obtener la contraseña del administrador ¡en texto plano!.

Lo peor es que Messner comenta que notificó a D-Link la vulnerabilidad a mediados del año pasado y el fabricante parece no tener la intención de publicar una actualización del firmware para solucionarlo.

Más información en:
Security alert for D-Link routers
Researcher Warns of D-Link Router Vulnerabilities
Multiple Vulnerabilities in D'Link DIR-600 and DIR-300 (rev B)
dlinkroot.py

De cómo conocí Raspberry Pi y sus innumerables bondades

El otro día, cuando ya ni me acordaba de la última vez que se incrementó mi casillero de años (i++), un buen amigo me hizo un regalo por mi cumpleaños. Como siempre y antes de retirar el envoltorio, intenté adivinar de qué se trataba. Por el tamaño parecía una cajetilla de tabaco, algo que descarté de inmediato porque era algo más alargada y porque hubiese sido cruel y un disparo certero a la voluntad de alguien que está en periodo de abandono de la nicotina.

Sin más retiré el envoltorio y descubrí una pequeña caja rosa, con el logo de una frambuesa y el nombre 'Raspberry Pi'. Supongo que al abrirlo mi amigo buscaba en mí una reacción distinta a la cara de póker que seguro vio en aquel momento. En seguida comprendió. "Tío, ¡es una Raspberry Pi! ¿¡no sabes lo que es!?". Negué con la cabeza, (pues en estos casos conviene ser sincero): "Ni idea macho".

Contemplen mis vergüenzas. Centrado tanto en la seguridad yo sabía que ni de lejos era el súmmum del conocimiento en hardware/gadgets o dijese del seguimiento de la más pura vanguardia tecnológica, pero parece que no saber que era pequeña placa era la mayor ofensa geek del universo conocido, y cuando mi amigo me explicó brevemente que es 'Raspberry Pi' creanme que así lo fue. En seguida comprenderán por qué...

Firewall Femme Fatale (esto me sucedió en 2010): Parte 2


Bitácora de la hecatombe perimetral, Instalación del Firewall Día 4

*** “…Me gusta aparentar aquello que no soy, me hace sentir mejor que todos me adoren, he conseguido ser alguien importante, ¿qué piensa ahora la sociedad que tanto tiempo me ha rechazado? Sí, soy un criminal, mi crimen es ser egocéntrico, ¿y qué?, ¿quién puede pararme?, ¿quién osará desafiarme?, ¿acaso ha existido alguna vez un Dios mejor que yo? Puedes intentar pararme, pero ya tengo amigos en todas partes, ellos me apoyarán porque los muy ingenuos creen de verdad en mí…”

(Manifiesto del Lammer, clase de Seguridad Informática; México, Marzo 2008, Programando Shell Coding básico)***

Ya ni la jodes. Ahora si la regaste enteritamente completa. Parece mentira que a tu edad hagas estas estupideces de crío/infante/bebo. Y ya ves que dicen por ahí que las mugrosas estupideces son más guapas y más interesantes que las horribles madureces. Tenías que llegar, con tu carita de idiota alegre que se muere de ganas de meterse en problemas, de hacer lo que no debe, de liarla en mal plan.

Igual todo el día siguiente me estaba muriendo de pavor porque no sabía cómo iba a torturar a mi firewall para arrancarle el SIP de alguna manera, ah! y de encontrarme a la jefa por ahí, o que me llamara de pura casualidad, (y eso no saben cuántos puntos le sumaba al score de terror). ¿¿Tienen idea de lo que era deambular por los pasillos de mi trabajo, con un firewall horror story, un cliente a punto de colgarme de los… del ventrículo izquierdo, y todos preguntándome cómo había ido la ventana de la madrugada right on the road to hell??? Me va a dar una embolia, pensaba.

Firewall gurú: Cómo estuvo todo Fer, si acabaste?? Supongo sin problemas no?? Era un modo transparente me dijeron, cuánto tiempo le hiciste babysitting, unas dos horas??

Fer: (Llorando por dentro como plañidera pero de pie como conserje de primaria) Pues sí más o menos…lo que pasa es que…es que falta hacerle tunning a algunas cosas…porque tienen servicios y así, y…pues así le hacemos no? (qué diablos?!, qué dije?!)

Firewall gurú: Tunning al firewall en modo transparente? Por qué? Le aplicaste perfiles de inspección o algo así?

Fer: (Le tengo que lanzar una indirecta muy directa es mi oportunidad) No, es que quieren meter voz, pero por ahí leí (con por ahí leí quise decir: por ahí sufrí una vorágine apocalíptica que me está llevando a la silla eléctrica), que luego no reconoce muy bien el SIP, porque es un protocolo basado en UDP y cada fabricante tiene su versión, entonces por ahí presentan problemillas… (Bueno ya di algo que no te haga sonar como un noob).

Firewall gurú: Pues… de repente, la inspección bloquea por default algunas cosas pero… tuviste entonces problemas con la integración??!!

Fer: No no, para nada!!...*le crece la nariz como Pinocho*, es que quieren meter su PBX a uno de mis segmentos en el firewall, pero le van a hacer una actualización, lo haremos hoy en la noche y me preguntaron si el firewall no tenía problemas para reconocerlo, les comenté que debido a que el equipo tendía a “aplicar algoritmos estructurados de optimización combinatoria para resolver este tipo de cuestiones pseudoaleatorias en protocolos de capa 4 inherentes al modelo OSI” podía haber algunos detalles…(insisto qué diablos estoy diciendo por el amor de Yisus??!!)

Firewall Gurú: (0_o!) Ahhh si.. si creo que si…bueno…puedes checar eso en el Admin Guide, estudia las políticas de override por ahí te puede funcionar si el equipo no ve algo.

Fer: (Políticas de override??!!, ahí está el pan Yikes!) Si gracias!! (Santo es el señor…y mi Firewall Gurú)

Santo es el señor
Imagen robadTOMADA DE juliusteobserva.com

¿Qué es OphCrack?

Ophcrack es una herramienta para crackear las contraseñas de Windows basada en las tablas Rainbow. Es una implementación muy eficiente de las tablas Rainbow hecha por los inventores de este método. Viene con una Interfaz Gráfica de Usuario GTK+ y corre bajo Windows, Mac OS X (CPU Intel) y también en Linux. Más Información | Descarga

Para comprobar el funcionamiento y uso de Ophcrack, procedemos hacer una pequeña prueba en una máquina virtual con Windows XP (VirtualBox).

Escalado de privilegios mediante GFI LanGuard 2012

GFI LanGuard 2012 (http://www.gfi.com/network-security-vulnerability-scanner) es la competencia de Microsoft SCCM, una suite para inventariado, análisis básico de vulnerabilidades y distribución de software en red.

Existe una característica llamada 'auto remediation' que automáticamente copia y ejecuta las actualizaciones aprobadas por el administrador en los equipos de la red. El parche de software se instalará y el usuario lo único que verá es un aviso para reiniciar su máquina. Normalmente la mayoría de los administradores cometen el error de configurar una cuenta con privilegios de administrador de dominio para facilitar la distribución de estas actualizaciones:



El otro problema es que no hay ningún control de integridad de los ficheros copiados antes de ser ejecutados... Si tienes la mente "sucia" ya te habrás dado cuenta que esta técnica va de eso: antes de que se ejecute un parche sustituirlo por otro fichero con un payload malicioso.

Confirman la creación de un Mando de Ciberdefensa de las Fuerzas Armadas Españolas para 2014

«Ne Sero Veniam Depugto Proelio» Plauto
El jefe del Estado Mayor de la Defensa (JEMAD), el almirante Fernando García Sánchez, confirmó ayer que durante el primer semestre de 2014 estará operativo el nuevo mando en "ciberdefensa" y que lo coordinará el Centro Nacional de Inteligencia (CNI).

Este nuevo mando va a estar integrado en la Estrategia Española de Ciberseguridad que aprobará próximamente el Gobierno y se dedicará a la vigilancia y defensa de los sistemas militares e infraestructuras críticas, aunque puede apoyar en sus misiones a otros "actores" que participen en estas tareas.

Según el CNI, el año pasado España sufrió más de 200 ciberataques considerados como críticos, el doble que el año anterior, y preveen que el incremento de estos ataques siga aumentando de forma exponencial.

Os dejo con la noticia del telediario de RTVE de ayer:
 

VMinjector: herramienta para evadir la autenticación de máquinas virtuales

¿Has olvidado la contraseña de tu host virtual?, ¿eres un chico malo, has tomado el control de un equipo con VMWare y ahora quieres acceder a sus máquinas virtuales? ¡VMInjector es la solución que buscabas! XD
 

VMInjector es un pequeño script escrito en Python que inyecta una DLL (x86 y x64) en el proceso VMWare para obtener acceso a la memoria. Una vez mapeados sus recursos, parchea la función correspondiente para evadir la autenticación y así acceder al sistema operativo de la máquina virtual, ya sea Windows, Ubuntu o Mac OS X.

El parcheo en memoria no es persistente, así que al reiniciar la máquina virtual el proceso de autenticación volverá a la normalidad como si no hubiera pasado nada ;)

 
https://github.com/batistam/VMInjector