攻防实战一马平川拿下虚拟化云平台

admin
admin
admin
138883
文章
114
评论
2024年9月10日12:58:19评论27 views字数 1832阅读6分6秒阅读模式
前言

拿下虚拟化云平台

不是星标不推送文章了。

师傅也不想吧~

快把极梦C设置成星标吧。

攻防实战一马平川拿下虚拟化云平台

打点
信息收集的时候发现目标存在一个fe,‌飞企互联-FE企业运营管理平台

攻防实战一马平川拿下虚拟化云平台

存在历史文件上传漏洞,上传webshell,拿到服务器权限。

攻防实战一马平川拿下虚拟化云平台

攻防实战一马平川拿下虚拟化云平台

内网
常规的进行翻找文件,hash提取。这里发现hash解不开。
然后通过批量获取可能存在敏感文件的后缀。发现一些的密码。
但是通过爆破没有碰撞成功几个

攻防实战一马平川拿下虚拟化云平台

攻防实战一马平川拿下虚拟化云平台

hash虽然解不开,但是可以利用hash登录rdp。
常见的是
1.利用Psexec进行RDP会话劫持,
2.利用mimikatz进行Hash登录rdp远程桌面
这里使用第2种方法。
1.过程开启Restricted Admin mode
REG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
查看是否已开启,REG_DWORD 0x0 存在就是开启
REG query "HKLMSystemCurrentControlSetControlLsa" | findstr "DisableRestrictedAdmin
2.利用mimikatz登录
privilege::debug
sekurlsa::pth /user:admin /domain:DESKTOP-xxx /ntlm:hash "/run:mstsc.exe /restrictedadmin"
行后弹出远程登录界面,如下图 选择连接,成功实现远程登录

攻防实战一马平川拿下虚拟化云平台

这里也是成功登录上去了。但是翻找了一下,比如mstsc登录记录,各种浏览器的记录等,并无发现有价值的东西。
VMware vSphere
回到扫描结果,发现存在VMware vSphere

攻防实战一马平川拿下虚拟化云平台

攻防实战一马平川拿下虚拟化云平台

进行尝试,发现是v7.0 linux版本的。
存在一定的漏洞。
尝试1. CVE-2021-21972主要说一下问题这里不同版本的对应的文件位置不同
# vCenter 6.5/6.7 < 13010631/usr/lib/vmware-vsphere-ui/server/work/deployer/s/global/%d/0/h5ngc.war/resources/<thefile># vCenter 6.7 >= 13010631/usr/lib/vmware-vsphere-ui/server/static/resources/libs/<thefile># vCenter 7.0,其中 resources15863815 动态生成,可以通过访问 /ui 可以获取该目录信息/usr/lib/vmware-vsphere-ui/server/static/resources15863815/libs/<thefile>

攻防实战一马平川拿下虚拟化云平台

通过网上查看各种版本的路径,
发现网上的脚步是对6.5/6.7的路径去尝试
在遍历到100多的时候,还没有成功,才发现这个问题
但是目标是7.0,这里就没有继续研究。

继续
继续尝试CVE-2021-22005,这里网上的脚本貌似只支持linux,正好这里是linux。

攻防实战一马平川拿下虚拟化云平台

成活拿下,刚开始想直接写一个webshell进去,但是发现一直缺字符,不知道为啥,
如图:

攻防实战一马平川拿下虚拟化云平台

不搞了。直接使用蚁剑进行webshell连接。使用cmdlinux连接即可

攻防实战一马平川拿下虚拟化云平台

接下来就是找db搞出密码或者cookie登录进去。
从 /storage/db/vmware-vmdir/data.mdb,获得有效的管理员 cookie。Linux:
/storage/db/vmware-vmdir/data.mdb
Windows
C:ProgramDataVMwarevCenterServerdatavmdirddata.mdb

攻防实战一马平川拿下虚拟化云平台

解密,成功登录

攻防实战一马平川拿下虚拟化云平台

借助浏览器的插件,替换cookie。
直接访问https://IP/ui即可。

攻防实战一马平川拿下虚拟化云平台

成功拿下虚拟化平台。
后续的话,获取某个虚拟机的权限,常规就是利用生成快照的方式,利用volatility 内存读取。很费时间。
团队介绍

高级攻防小组,

5年以上一线攻击选手,每年30场+,成绩均占比前10%。部/省/市/行业

src第一,混迹于各种众测。

多个红队平台等。

实战派,一切为了实战。

后台回复"",进入实战派的小白交流群。

承接红蓝对抗,安全众测,安全培训,SRC培训,代码审计,渗透测试,应急响应,免杀等.

(安全可靠,排名稳定,战绩可查.)

星梦计划招生ing中.实战src的全方位讲解.

原文始发于微信公众号(极梦C):攻防实战一马平川拿下虚拟化云平台

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月10日12:58:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻防实战一马平川拿下虚拟化云平台https://cn-sec.com/archives/3149146.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息