记一次实战 CVE

  最近看到几个公众号发关于CVE帖子(已报名看雪课底部评)，但是发现大家都是纸上谈兵，没有实操的帖子是没有灵魂的。正好我前几天做渗透测试（正经渗透测试，有授权的!）的时候通过CVE-2021-21972拿下了一台机器，并且成功登陆进了控制平台里，下面我给大家复原一下整个攻击的思路，。

  vSphere 是 VMware 推出的虚拟化平台套件，包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心，可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。

    这个受影响的范围为

    受影响版本

VMware vCenter Server 7.0系列 < 7.0.U1c

VMware vCenter Server 6.7系列 < 6.7.U3l

VMware vCenter Server 6.5系列 < 6.5 U3n

VMware ESXi 7.0系列 < ESXi70U1c-17325551

VMware ESXi 6.7系列 < ESXi670-202102401-SG

VMware ESXi 6.5系列 < ESXi650-202102101-SG

具体过程

    进内网的时候非常混乱，发现了一大堆ESXi，有个有经验的师傅说找到vcenter就妥了，这一大堆机器就全干下来了，我们写脚本将这些url全跑一遍，通过返回的字节长度以及状态码，最终锁定了两台机器。

    首先我们访问https://ip/ui/vropspluginui/rest/services/uploadova

    如果反回的状态码为405，那么可能机会存在这个洞。

    然后再github找到一个exp。

    https://github.com/NS-Sp4ce/CVE-2021-21972

这里有点坑，payloa是默认的linux。而我们的机器是windows，打了半天打不进去才发现这个问题。后来改了脚本一瞬间就梭进去了。这儿需要修改的地方就是那个函数，根据实际情况修改。

再攻击成功后会返回一个shell的地址，用冰蝎3进行连接。

连接成功后就拿到了目标系统的system权限。

这时候我们发现拿到机器也登陆不上控制平台，要登录还需要密码。

在vcenter的安装目录里有一个vdcadmintool.exe，他的默认地址是

C:\Program Files\VMware\vCenter Server\vmdird，我们可以利用这个工具对平台的密码进行修改，他会生成新的随机密码。

==================

Please select:

0. exit

1. Test LDAP connectivity

2. Force start replication cycle

3. Reset account password

4. Set log level and mask

5. Set vmdir state

6. Get vmdir state

7. Get vmdir log level and mask

==================

运行它会出现一下选项，我们选择3，然后输入用户名，在这我们直接蒙了一个他的初始用户名administrator@vsphere.local，正确之后就能修改密码了。

在修改成功之后。我们利用新生成的密码成功进入控制平台，进去之后发现里面有几十台虚拟机，其中包括好多的重要系统，报告提交game over！

由于信息非常敏感，所以我就在网上随便找了一张相同的图。