記一次實戰(zhàn) CVE

? 最近看到幾個公眾號發(fā)關(guān)于CVE帖子(已報名看雪課底部評)，但是發(fā)現(xiàn)大家都是紙上談兵，沒有實操的帖子是沒有靈魂的。正好我前幾天做滲透測試（正經(jīng)滲透測試，有授權(quán)的!）的時候通過CVE-2021-21972拿下了一臺機器，并且成功登陸進了控制平臺里，下面我給大家復(fù)原一下整個攻擊的思路，。

? vSphere 是 VMware 推出的虛擬化平臺套件，包含 ESXi、vCenter Server 等一系列的軟件。其中 vCenter Server 為 ESXi 的控制中心，可從單一控制點統(tǒng)一管理數(shù)據(jù)中心的所有 vSphere 主機和虛擬機。

? ? 這個受影響的范圍為

? ? 受影響版本

VMware vCenter Server 7.0系列 < 7.0.U1c

VMware vCenter Server 6.7系列 < 6.7.U3l

VMware vCenter Server 6.5系列 < 6.5 U3n

VMware ESXi 7.0系列 < ESXi70U1c-17325551

VMware ESXi 6.7系列 < ESXi670-202102401-SG

VMware ESXi 6.5系列 < ESXi650-202102101-SG

具體過程

? ? 進內(nèi)網(wǎng)的時候非?；靵y，發(fā)現(xiàn)了一大堆ESXi，有個有經(jīng)驗的師傅說找到vcenter就妥了，這一大堆機器就全干下來了，我們寫腳本將這些url全跑一遍，通過返回的字節(jié)長度以及狀態(tài)碼，最終鎖定了兩臺機器。

? ? 首先我們訪問https://ip/ui/vropspluginui/rest/services/uploadova

? ? 如果反回的狀態(tài)碼為405，那么可能機會存在這個洞。

? ? 然后再github找到一個exp。

? ? https://github.com/NS-Sp4ce/CVE-2021-21972

這里有點坑，payloa是默認(rèn)的linux。而我們的機器是windows，打了半天打不進去才發(fā)現(xiàn)這個問題。后來改了腳本一瞬間就梭進去了。這兒需要修改的地方就是那個函數(shù)，根據(jù)實際情況修改。

再攻擊成功后會返回一個shell的地址，用冰蝎3進行連接。

連接成功后就拿到了目標(biāo)系統(tǒng)的system權(quán)限。

這時候我們發(fā)現(xiàn)拿到機器也登陸不上控制平臺，要登錄還需要密碼。

在vcenter的安裝目錄里有一個vdcadmintool.exe，他的默認(rèn)地址是

C:\Program Files\VMware\vCenter Server\vmdird，我們可以利用這個工具對平臺的密碼進行修改，他會生成新的隨機密碼。

==================

Please select:

0. exit

1. Test LDAP connectivity

2. Force start replication cycle

3. Reset account password

4. Set log level and mask

5. Set vmdir state

6. Get vmdir state

7. Get vmdir log level and mask

==================

運行它會出現(xiàn)一下選項，我們選擇3，然后輸入用戶名，在這我們直接蒙了一個他的初始用戶名administrator@vsphere.local，正確之后就能修改密碼了。

在修改成功之后。我們利用新生成的密碼成功進入控制平臺，進去之后發(fā)現(xiàn)里面有幾十臺虛擬機，其中包括好多的重要系統(tǒng)，報告提交game over！

由于信息非常敏感，所以我就在網(wǎng)上隨便找了一張相同的圖。