【vCenter】vpxuser密码解密

admin 2024年10月25日15:51:16评论52 views字数 1863阅读6分12秒阅读模式

【vCenter】vpxuser密码解密

0x01 前言

在内网渗透过程中,集权设备往往是Red Team喜欢关注的地方,vCenter又有小域控的称号,当获取到vCenter之后权限不高,或者想要获取更多权限的时候,可以关注一下vpxuser账户,这很可能是安全基线检查中会被忽略到的一个点。本文记录了获取vCenter服务器权限之后,解密vpxuser账户明文密码的一个过程

0x02 vpxuser

vpxuser是ESXI和vCenter第一次连接时自动创建的高权限用户,vCenter使用OpenSSL密码库作为随机来源,每30天生成一个新的vpxuser密码,密码长度为32个字符,该用户是被vpxd进程创建的,用来管理ESXI和vCenter之间的通信

vpxuser密文解密的过程如下:

1.登录vCenter服务器的PostgresDB数据库

2.找到服务器的vpxuser加密的密码

3.对vpxuser密码逆向解密

4.利用CVE-2021-22015去提升到解密所需要的高权限(root权限忽略)

5.解密密码登录目标服务器
0x03 获取密文

PostgresDB的凭据

首先需要找到含有数据库密码的凭据文件

/etc/vmware-vpx/vcdb.propertiesC:ProgramDataVMwarevCenterServercfgvmware-vpsvcdb.properties
【vCenter】vpxuser密码解密

使用数据库凭据登录数据库

/opt/vmware/vpostgres/current/bin/psql -d VCDB -U vc -w <Password>

【vCenter】vpxuser密码解密

vpxv_vms表相关信息

该数据库存放了有关ESXi和vCenter的信息,其中vpxv_vms表是虚拟机的一些信息
vpxv_vms字段如下
vmid namevmgroupidhostid                                configfilename                                         |        vmuniqueidresource_group_idmem_size_mbnum_vcpuboot_timesuspend_timepower_stateguest_osguest_familyguest_statememory_reservationmemory_overheadcpu_reservationdns_nameip_addressvmmware_tooltools_versionnum_nicnum_diskis_templateannotationsuspend_intervalaggr_commited_storage_spaceaggr_uncommited_storage_spaceaggr_unshared_storage_spacestorage_space_updated_time

查询vpx的虚拟机信息

SELECT vmid,name,configfilename,guest_state,is_template FROM vpxv_vms;
【vCenter】vpxuser密码解密
寻找正在运行的虚拟机
SELECT vmid,name,configfilename,guest_state,is_template FROM vpxv_vms where guest_state='running';
【vCenter】vpxuser密码解密

获取vpxuser密文

从数据库获取vpxuser的密文

SELECT user_name, password FROM vc.vpx_host;
【vCenter】vpxuser密码解密

0x04 加密算法

这里用到的是AES_256_CBC加密算法,还需要获取密钥key和iv初始化向量
密钥key是保存在/etc/vmware-vpx/ssl/symkey.dat文件中的
【vCenter】vpxuser密码解密

iv是密文base64解密之后的前16位
0746243b3b7d8f0c19bfd62d10bac3ea

【vCenter】vpxuser密码解密

key和iv都确定之后 开始解密

需要解密的密文是base64之后去掉前16位之后的剩余部分

【vCenter】vpxuser密码解密

成功解密

【vCenter】vpxuser密码解密

使用python脚本解密如下

【vCenter】vpxuser密码解密

公众号后台回复"vpxuser"获取工具链接

0x05 参考链接

https://www.pentera.io/blog/information-disclosure-in-vmware-vcenter/
https://www.pentera.io/blog/vscalation-cve-2021-22015-local-privilege-escalation-in-vmware-vcenter-pentera-labs/

https://mp.weixin.qq.com/s/Q91wk8BIUO5cAp6_7_pt1A

【vCenter】vpxuser密码解密

原文始发于微信公众号(溪琉安全录):【vCenter】vpxuser密码解密

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月25日15:51:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【vCenter】vpxuser密码解密https://cn-sec.com/archives/1844419.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息