【漏洞复现】Vmware vcenter未授权任意文件RCE

最新推荐文章于 2024-09-14 14:24:20 发布
最新推荐文章于 2024-09-14 14:24:20 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 漏洞复现 渗透测试 文章标签: vCenter Server 未授权任意文件 RCE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Adminxe/article/details/114242269
版权

0x00 Vmware vcenter信息

vSphereVMware推出的虚拟化平台套件,包含ESXivCenter Server等一系列的软件。其中vCenter Server ESXi的控制中心,可从单一控制点统一管理数据中心的所有vSphere主机和虚拟机,使得IT管理员能够提高控制能力,简化入场任务,并降低IT环境的管理复杂性与成本。

vSphere Client(HTML5)vCenter Server插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放443端口的服务器向vCenter Server发送精心构造的请求,从而在服务器上写入webshell,最终造成远程任意代码执行。

fofa查询

语法:

title="+ ID_VC_Welcome +"

app=”vmware-ESX”||app=”vmware-VirtualCenter”||app=”vmware-vCenter”

0x01 影响版本

  •  
  • 7.0 U1c 之前的 7.0 版本
  • 6.7 U3l 之前的 6.7 版本
  • 6.5 U3n 之前的 6.5 版本

0x02 代码分析

vCenter ServervROPS插件的API未经过鉴权,存在一些敏感接口。其中 uploadova 接口存在一个上传 OVA 文件的功能:

   @RequestMapping(
      value = {"/uploadova"},
      method = {RequestMethod.POST}
   )
   public void uploadOvaFile(@RequestParam(value = "uploadFile",required = true) CommonsMultipartFile uploadFile, HttpServletResponse response) throws Exception {
      logger.info("Entering uploadOvaFile api");
      int code = uploadFile.isEmpty() ? 400 : 200;
      PrintWriter wr = null;
      try {
         if (code != 200) {
            response.sendError(code, "Arguments Missing");
            return;
         }
         wr = response.getWriter();
      } catch (IOException var14) {
         var14.printStackTrace();
         logger.info("upload Ova Controller Ended With Error");
      }
      response.setStatus(code);
      String returnStatus = "SUCCESS";
      if (!uploadFile.isEmpty()) {
         try {
            logger.info("Downloading OVA file has been started");
            logger.info("Size of the file received  : " + uploadFile.getSize());
            InputStream inputStream = uploadFile.getInputStream();
            File dir = new File("/tmp/unicorn_ova_dir");
            if (!dir.exists()) {
               dir.mkdirs();
            } else {
               String[] entries = dir.list();
               String[] var9 = entries;
               int var10 = entries.length;
               for(int var11 = 0; var11 < var10; ++var11) {
                  String entry = var9[var11];
                  File currentFile = new File(dir.getPath(), entry);
                  currentFile.delete();
               }
               logger.info("Successfully cleaned : /tmp/unicorn_ova_dir");
            }
            TarArchiveInputStream in = new TarArchiveInputStream(inputStream);
            TarArchiveEntry entry = in.getNextTarEntry();
            ArrayList result = new ArrayList();
            while(entry != null) {
               if (entry.isDirectory()) {
                  entry = in.getNextTarEntry();
               } else {
                  File curfile = new File("/tmp/unicorn_ova_dir", entry.getName());
                  File parent = curfile.getParentFile();
                  if (!parent.exists()) {
                     parent.mkdirs();
                  }
                  OutputStream out = new FileOutputStream(curfile);
                  IOUtils.copy(in, out);
                  out.close();
                  result.add(entry.getName());
                  entry = in.getNextTarEntry();
               }
            }
            in.close();
            logger.info("Successfully deployed File at Location :/tmp/unicorn_ova_dir");
         } catch (Exception var15) {
            logger.error("Unable to upload OVA file :" + var15);
            returnStatus = "FAILED";
         }
      }
      wr.write(returnStatus);
      wr.flush();
      wr.close();
   }

代码逻辑是将TAR文件解压后上传到 /tmp/unicorn_ova_dir 目录。注意到如下代码:

                while(entry != null) {
                    if (entry.isDirectory()) {
                        entry = in.getNextTarEntry();
                    } else {
                        File curfile = new File("/tmp/unicorn_ova_dir", entry.getName());
                        File parent = curfile.getParentFile();
                        if (!parent.exists()) {
                            parent.mkdirs();

直接将TAR的文件名与 /tmp/unicorn_ova_dir 拼接并写入文件。如果文件名内存在 ../ 即可实现目录遍历。

0x03 漏洞复现

利用代码(Sp4ce )https://github.com/NS-Sp4ce/CVE-2021-21972

 

0x04 修复建议

  • vCenter Server7.0版本升级到7.0.U1c
  • vCenter Server6.7版本升级到6.7.U3l
  • vCenter Server6.5版本升级到6.5 U3n

转载请注明:Adminxe's Blog » 【漏洞复现】Vmware vcenter未授权任意文件RCE

 

Adminxe
关注
专栏目录
金蝶云星空RCE漏洞复现
0xSec
06-21 1万+
由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认8000端口),普通应用(默认80端口)也存在类似问题。
CVE-2021-21972 Vmware vcenter授权任意文件/RCE漏洞
热门推荐
战神/calmness的博客
02-25 1万+
目录 ​描述 据了解 安装环境 影响版本 过程分析 修复建议 临时修补建议 参考链接 描述 2021年02月24日,某些平台监测到 Vmware官方发布了vCenter Server安全更新,修复了vSphereClient (HTML5)在vCenter Server插件vRealizeOperations(vROps)中的一个远程代码执行漏洞(CVE-2021-21972)。VMware vCenter Server是美国威睿(VMware)公司的一套服务器和虚拟化管理软件。该.
VMware vCenter 低版本存在授权任意文件读取漏洞
par@ish的博客
08-15 944
VMware vCenter 低版本存在授权任意文件读取漏洞,Arbitrary File Read vulnerability in VMware vCenter(Unauthenticated)。
远程代码执行漏洞RCE)分析与复现
最新发布
ABUG
09-14 629
这种漏洞通常出现在没有对输入数据进行严格过滤和验证的情况下,允许恶意用户发送特制的输入,使服务器执行授权的命令或程序。远程代码执行漏洞的严重性不言而喻,攻击者可以通过受控的输入执行恶意命令,直接控制服务器或获取敏感信息。我们将使用常见的Web应用程序漏洞示例,来展示一个典型的RCE漏洞的发现与利用过程。RCE的危害性非常高,攻击者可以直接接管服务器,执行恶意代码,访问敏感数据,或进行更多的破坏性操作。提交恶意输入后,如果漏洞存在,页面会返回两条命令的结果:ping 命令的结果和 ls 命令的结果。
VMware vCenter Server任意文件上传漏洞(CVE-2021-22005)复现
内心不种满鲜花就会长满杂草
09-29 1万+
目录 漏洞描述 影响版本 漏洞检测poc 漏洞EXP 声明:切勿用于非法入侵,仅供检测与学习!传送门 ——>中华人民共和国网络安全法 漏洞描述 2021年9月21日,VMware发布安全公告,公开披露了vCenter Server中的19个安全漏洞,这些漏洞的CVSSv3评分范围为4.3-9.8。 其中,最为严重的漏洞为vCenter Server 中的任意文件上传漏洞(CVE-2021-22005),该漏洞存在于vCenter Server的分析服务中,其CVSSv3评分为 9.8.
RCE漏洞复现
qq_43757105的博客
09-14 1014
目录 漏洞描述 漏洞等级 影响版本 准备阶段 RCE漏洞复现具体步骤: Win2008搭建好环境且ip 地址为192.168.132.132​​ Win7可以访问到在win2008 phpstudy 上提前搭建的网站​​ Win7打开bp,设置好代理访问win2008​​ send to repeater​​​​ 在请求行加一行Accept-Charset: 并且还要把“deflated”面的空格删除(不删除无法执行命令) 准备执行命令system('whoami');
VMware_vCenter_UNAuthorized_RCE_CVE-2021-21972:VMware vCenter授权RCE(CVE-2021-21972)
03-04
VMware_vCenter_UNAuthorized_RCE_CVE-2021-21972 zoomeye dork:app:“ VMware vCenter” 使用pocsuite3编写的无害检测 ,使用近一年的数据进行探测: 成功率大约:1551/3998 = 39%
CVE-2021-21972 Vmware vcenter授权 获取linux RCE-细节
qq_40015778的博客
02-26 1898
CVE-2021-21972 Vmware vcenter授权 获取linux RCE-细节 在本文中,我将介绍如何发现VMware vSphere客户端RCE漏洞,泄露技术细节并说明如何在各种平台上利用它。 发现漏洞 在对vSphere Client进行分析的过程中,我一如既往地采用了黑盒和白盒两种方法进行测试,重点关注授权即可利用的漏洞。从Web面板,我尝试发送尽可能多的不同请求,所有请求都没有Cookie标头。 向发送授权的请求后/ui/vropspluginui/rest/services
CVE-2021-21972 Vmware vcenter授权任意文件上传分析
weixin_39811856的博客
03-12 495
背景 CVE-2021-21972 vmware vcenter的一个授权的命令执行漏洞。该漏洞可以上传一个webshell至vcenter服务器的任意位置,然后执行webshell即可。 漏洞产生原因 vropspluginui插件上传文件的时候没有校验文件名称,并且直接拼接到/tmp/unicorn_ova_dir后面 while(entry != null) { if (entry.isDirectory().
VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972
Ms08067安全实验室
08-18 1万+
文章来源|MS08067安全实验室本文作者:Taoing(WEB高级攻防班讲师)0x00 漏洞描述CVE-2021-21972 vmware vcenter的一个任意位置,然后执行web...
Redis-RCE漏洞复现
Seizerz的博客
11-19 1834
一、简介 Redis:REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis RCE漏洞来源:https://lorexxar.cn/201...
Tomcat RCE 漏洞复现(CVE-2019-0232)
大哥一声吼
04-18 1万+
漏洞影响范围,直接看官方公告: 总结起来漏洞影响范围如下: tomcat 7.0.04之前 tomcat 8.5.40之前 tomcat 9.0.19之前 版本都会影响 (tomcat 服务器版本在受影响范围内的小伙伴可以打一波补丁了) 测试环境 tomcat 版本8.5.31 jdk版本8.121 漏洞利用前提 修改conf里面的内容 第一处:con...
CVE-2018-1270-Spring Messaging RCE漏洞复现
m0_58596609的博客
04-22 5903
CVE-2018-1270-Spring Messaging RCE漏洞复现
微信RCE漏洞复现
m0_46171781的博客
05-02 3352
微信RCE漏洞复现 一、涉及版本: 微信 Windows 版:< 3.1.2.141 根据腾讯安全中心的公告,这是因为chrome浏览器使用的V8引擎存在安全问题导致的。该漏洞仅影响windows版本的PC版微信,且只影响3.2.1.141以下版本 二、复现过程: 1.开启cobalt strike监听 2.使用cobalt strike生成shellcode 3.将生成的shellcode进行处理,将\替换为,0 4.写入js代码中 5.在html文件中调用此js代码 6.在靶机中使用微信
ThinkPHP2-RCE漏洞复现
weixin_73180072的博客
09-10 755
这个函数会接收用户的输入,并将其存储在一个缓存文件中,以供后续使用。然而,由于没有对用户输入进行适当的过滤和验证,攻击者可以构造一个包含恶意代码的输入数据,并将其提交给该函数。当其他用户访问该应用程序时,这些恶意代码就会被执行,攻击者就可以控制整个服务器。造成该漏洞的原因在于ThinkPHP 2.x版本中,某些函数没有对用户输入进行严格的过滤和验证,导致攻击者可以通过构造恶意输入来绕过安全防护,执行恶意代码。攻击者通过利用该漏洞,可以在服务器上执行任意PHP代码,从而控制服务器。成功连接,获取shell。
Apereo CAS 4.1/4.x 反序列化RCE漏洞 漏洞复现
ADummy的博客
02-20 2121
Apereo CAS 4.1反序列化RCE漏洞 by ADummy 0x00利用路线 ​ 构造(可以使用ysoserial)可执行命令的序列化对象—>发送给目标61616端口—>访问web管理页面,读取消息,触发漏洞—>代码执行 0x01漏洞介绍 ​ Apereo CAS是企业级单点登录系统。CAS试图通过Apache Commons Collections库对对象进行反序列化的过程中存在一个问题,该案例引起了RCE漏洞。Apereo Cas一般是用来做身份认证的,所以有一定的攻击
JumpServer RCE漏洞复现
weixin_45945976的博客
09-06 317
JumpServer RCE 一. 漏洞url http://xxx.xxx.xx.xx 二. 漏洞详情 由于 JumpServer 某些接口授权限制,攻击者可构造恶意请求获取到日志文件获取敏感信息,或者执行相关API操作控制其中所有机器,执行任意命令。,可以读取jumpserver日志信息,证明漏洞存在。 三. 漏洞复现 1。运行脚本获取 asset_id,system——user,user_id三个值 import asyncio import re import websockets import
CVE-2023-46604- RCE漏洞复现
2301_80115097的博客
11-16 3895
执行上述清理操作后过2分钟再次弹出安全告警,发现服务器再次生成configs.conf文件以及ksoftirqd/0进程,怀疑守护进程全部清理干净,再次进行检查,发现存在多个守护进程ksoftirqd/0。虽然AMQ的61616端口依然开着,但几天收到告警,本以为攻击者已经遗忘了我们公司,结果下午收到阿里云封禁服务器的通知,原因是服务器对外进行了DDOS攻击。由于云安全中心没有提示【拦截成功】,且该云账号的云安全中心为免费版,我们认为攻击者大概率入侵成功,必须立刻启动应急响应。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值