CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用

  • A+
所属分类:安全文章

免责声明:

本文提及的安全环境、工具和方法等仅供试用及教学用途,禁止非法使用,且行且珍惜。

CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用
CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用

关于

CVE-2021-21972 Vmware vcenter

未授权任意文件上传及rce利用


01

漏洞简介

VMware是一家云基础架构和移动商务解决方案厂商,提供基于VMware的虚拟化解决方案。


高危严重漏洞:

在 CVE-2021-21972 VMware vCenter Server 远程代码漏洞 中,攻击者可直接通过443端口构造恶意请求,执行任意代码,控制vCenter。


漏洞为任意文件上传:

存在问题的接口为

/ui/vropspluginui/rest/services/uploadova

完整路径

https://ip:port/ui/vropspluginui/rest/services/uploadova

CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用

02

影响版本

VMware vCenter Server 7.0系列 < 7.0.U1c

VMware vCenter Server 6.7系列 < 6.7.U3l

VMware vCenter Server 6.5系列 < 6.5 U3n

VMware ESXi 7.0系列 < ESXi70U1c-17325551

VMware ESXi 6.7系列 < ESXi670-202102401-SG

VMware ESXi 6.5系列 < ESXi650-202102101-SG


03

资产查找

fofa语法:title=" + ID_VC_Welcome + "

CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用
CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用

04

批量验证POC

基于以前的POC修改来的

#!/usr/bin/env python
# coding:utf-8
# author:kent
#affected versions are VMware vCenter Server: 7.0/6.7/6.5

import requests,sys,colorama
from colorama import *
init(autoreset=True)


banner='''33[1;33;40m
 _______      ________    ___   ___ ___   __         ___   __  ___  ______ ___
/ ____    / /  ____|  |__ / _ __ /_ |       |__ /_ |/ _ |____  |__
| |      / /| |__  ____  ) | | | | ) | | | ______   ) | | | (_) |   / /   ) |
| |       / / |  __||____|/ /| | | |/ /| | ||______| / /  | |__, |  / /   / /
| |____    /  | |____    / /_| |_| / /_| | |        / /_  | |  / /  / /   / /_
_____|   /   |______|  |____|___/____| |_|       |____| |_| /_/  /_/   |____|

'''


def verify():
headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.99 Safari/537.36"}
payload= '/ui/vropspluginui/rest/services/uploadova'
poc=urls+payload
try:
requests.packages.urllib3.disable_warnings()#解决InsecureRequestWarning警告
response=requests.get(poc,headers=headers,timeout=15,verify=False)
if response.status_code==405 or response.status_code==200 or "Method Not Allowed" in response.content:
print(u'33[1;31;40m[+]{} is Vmware vcenter未授权任意文件/RCE漏洞'.format(urls))
print(response.content)
#将漏洞地址输出在Vul.txt中
f=open('./vul.txt','a')
f.write(urls)
f.write('n')
else:
print('33[1;32;40m[-]{} None'.format(urls))
except:
print('{} request timeout'.format(urls))


if __name__ == '__main__':
print (banner)
if len(sys.argv)!=2:
print('Example:python2 CVE-2021-21972.py urls.txt')
else:
file = open(sys.argv[1])
for url in file.readlines():
urls=url.strip()
if urls[-1]=='/':
urls=urls[:-1]
verify()
print ('Check Over')

CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用

05

漏洞利用EXP

由空格表哥写的,目前版本存在点BUG,windows的判断逻辑缺失但是不影响正常使用。有强迫症的朋友可自行修改代码逻辑或等待新版本更新。附上EXP的下载地址

https://github.com/NS-Sp4ce/CVE-2021-21972


目前测试能成功的版本:

VMware-VCSA-all-6.7.0-8217866、VMware-VIM-all-6.7.0-8217866 ✔
VMware-VCSA-all-6.5.0-16613358 ✔


注意:vCenter 6.7 u2+系统是运行在内存中,所以EXP无法适用于6.7 u2+的环境。


成功

CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用
CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用

失败的情况。基本上出现目录遍历是没戏了,测试了很多都没访问到。

CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用


想了解更新漏洞细节的可以看看空格表哥的分析文章:

https://0x20h.com/p/7cb6.html

THE

END


CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用

微信号 : ForestTeam


本文始发于微信公众号(Forest Team):CVE-2021-21972 Vmware vcenter未授权任意文件上传及rce利用

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: