VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972

  • A+
所属分类:安全文章

文章来源|MS08067安全实验室

本文作者:Taoing(WEB高级攻防班讲师)


0x00 漏洞描述

CVE-2021-21972 vmware vcenter的一个未任意位置,然后执行webshell即可。


0x01 影响版本

VMware vCenter Server 7.0系列 < 7.0.U1c 

VMware vCenter Server 6.7系列 < 6.7.U3l 

VMware vCenter Server 6.5系列 < 6.5 U3n 

VMware ESXi 7.0系列 < ESXi70U1c-17325551 

VMware ESXi 6.7系列 < ESXi670-202102401-SG 

VMware ESXi 6.5系列 < ESXi650-202102101-SG 测试通过版本

VMware-VCSA-all-6.7.0-8217866 

VMware-VIM-all-6.7.0-8217866 2021-02-24


0x02 简单漏洞利用

环境搭建参考:

https://blog.51cto.com/12218973/2496675(VMware vCenter 6.7)

1.漏洞判断

直接访问https://Your IP/ui/vropspluginui/rest/services/updateova ,或者https://ip/ui/vropspluginui/rest/services/getstatus 如果404、401,则代表不存在漏洞VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972 如果405 、200,则代表可能存在漏洞 VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972

2.漏洞利用

使用Tabbed Postman - REST Client工具 POST请求上传shell文件 也可使用postman 

注:返回状态码200 SUCCESS即上传成功VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972使用冰蝎3.0连接shell 即可

坑:每个版本路径都不一样,这里需要自己去拼接 shell

地址:靶标/ui/resources/shell.jsp,

密码为冰蝎3.0默认密码  VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972-

0x03 高阶漏洞利用

1.基本漏洞利用

https://github.com/ptoomey3/evilarc/blob/master/evilarc.py evilarc.py可创建一个zip文件,其中包含在其嵌入式路径中带有目录遍历字符的文件。如果应用程序或库没有阻止目录遍历字符,则可以使用evilarc生成zip文件,将其解压缩后将文件放置在目标系统上的任意位置。

python evilarc.py -d 2 -p 'testFolder'

-o win -f winexpl.tar testUpload.txt

该winexpl.tar包括一个名为的文件....testFolder

testUpload.txt

 通过如下POC上传文件(这里通过burpsuti抓包将上传的文件winexpl.tar重命名为.ova) 可直接上传到C:testFoldertestUpload.txt下

通过如下POC上传文件(这里通过burpsuti抓包将上传的

文件winexpl.tar重命名为.ova)

 可直接上传到C:testFoldertestUpload.txt下

可上传到C:testFoldertestUpload.txtVMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972


2、Windows上获取RCE

1.需要找打创建文件的可写路径

2.找到的文件路径映射到可访问的Web根目录的文件夹结构中,够运行.jsp脚本,并且不需要授权 通过上面上传的testUpload.txt文件属性,可知道用于该文件执行的用户是vsphere-ui

 VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972 


并且在windows目录下载,默认安装C:ProgramDataVMwarevCenterServerdataperfchartstc-instancewebappsstatsreport该目录含有JSP执行文件权限(无需登录执行访问) 

根据以上信息,可以指定一个tar文件

python evilarc.py -d 5 -p 'ProgramData

VMwarevCenterServerdataperfcharts

tc-instancewebappsstatsreport' -o win -f

winexpl.tar testRCE.jsp

VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972

3、Linux上获得RCE

使用vsphere-ui用户的权限上传任意文件。如果我们将公钥上传到该用户的主目录,并尝试使用私钥通过SSH连接到服务器. 生成公钥对 ssh-keygen -t rsa VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972 使用生成的公共密钥创建.tar VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972打包tar:

python evilarc.py -d 5 -p 'home/vsphere-ui/.ssh' -o unix -f linexpl.tar authorized_keys VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972ssh [email protected] IP VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972POC使用: VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972

修复方法:

按照官方提示,关闭插件https://kb.vmware.com/s/article/82374

Reference:

工具:https://github.com/horizon3ai/CVE-2021-21972

分析:https://swarm.ptsecurity.com/unauth-rce-vmware/ https://mp.weixin.qq.com/s/NWVe4jxpWMqQNHIAmYHI6g POC:https://github.com/QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC Exp payload:https://github.com/NS-Sp4ce/CVE-2021-21972


Taoing老师主讲

WEB高级攻防实战班 第1期  来袭


课程围绕:外围打点、边界突破、PHP审计、SRC漏洞挖掘、应急响应



课程大纲(最新)


VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972*大纲仅作为参考,会根据当期进度有所变化(加客服获取高清课程导图)


课程目录(最新)

VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972



课程费用

每期班定价2999第一期班首发价:2499前50名送365元Web安全知识星球名额),每个报名学员都可享受一次免费的重听权益,一次没学懂就再来一遍,后续培训可任选一期来听。请有意参加培训的学员抓紧报名!

支持支付宝、信用卡、花呗分期,对公转账,可开发票!

学习资源

前50名报名同学,送365元Web知识星球名额,可提前先行学习Web安全相关知识,并提供课程中需要的相关软件和环境。

上课时间

每周一、二、三、四的晚上 19:00-21:00 ,共24天,48课时,为期6周。如果无法准时参加直播课程,在线培训的每节课程都会被录制成视频上传到学员区,可随时下载观看。


上课方式

培训采用在线直播+随堂录播+微信群解答的形式,无需等待,报名后立即进入“Web星球”开始预习。


讲师介绍

Taoing:MS08067安全实验室核心成员,Web安全知识星球合伙人,安恒信息安全高级工程师,擅长企业安全研究、情报分析、渗透测试,安全开发。

TtssGkf:MS08067安全实验室核心成员,Web安全知识星球合伙人,Defcon Group 86021议题分享者,致力于漏洞分析、代码审计、漏洞挖掘。


VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972


如何提前预习


  • 为更顺利的完成课程相关内容,请同学一定要提前预习相关知识点,已经报名的同学,请购买实验室出品《Web安全攻防:渗透测试实战指南》一书或在赠送的MS08067实验室“Web安全知识星球”中学习相关的内容。



    为什么选择MS08067直播培训     


MS08067近年来在安全界的口碑还是有目共睹的,特别是对信安感兴趣的学生、爱好者做了些有意义的事情,是真心实意的为读者,绝无半点虚假,做星球的初衷也是为了满足读者对于图书配套视频的需求,不像一些培训把心思花在宣传、花在“卖教程”上,实验室4年出版了4本原创图书就可以看出我们的初心和技术能力。

此次培训围绕红队攻击中的实战应用,重点突出实战、干货、思路、深度。负责讲解的老师也是MS08067的资深核心骨干成员,拥有多年的实战工作经验,让您所学的技术可以在企业中真正用得上。

很多读者跟我反映过开始都是看视频、看书自学,但是一旦遇到实验报错就没法解决,遇到不懂的技术点也没人解答,本应该重点掌握的技术也没有掌握,100%的初学者都会或多或少的走些弯路,学了1-2年还是效率低、进步慢,有的甚至就放弃了信安这个行业,学习信安要有圈子,也要有方法,自学当然没有问题,但该花的钱一分也不能少花。

最后再说下现在的信安培训也是鱼龙混杂,有很多挂羊头卖狗肉的也有很多商业化很成熟的机构,我们只希望做自己、多出书,然后做些小而精的培训,仅此而已。



    你距离大佬,只差一个决定       

详情咨询请联系小客服

VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972



扫描下方二维码加入星球学习

加入后邀请你进入内部微信群,内部微信群永久有效!

VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972 VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972

VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972

VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972 VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972

来和5000+位同学一起加入星球学习吧!


VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972

本文始发于微信公众号(Ms08067安全实验室):VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: