千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

如何进行vCenter 6.5-7.0 RCE漏洞CVE-2021-21972分析

发表于:2024-11-19 作者:千家信息网编辑
千家信息网最后更新 2024年11月19日,如何进行vCenter 6.5-7.0 RCE漏洞CVE-2021-21972分析,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。0x
千家信息网最后更新 2024年11月19日如何进行vCenter 6.5-7.0 RCE漏洞CVE-2021-21972分析

如何进行vCenter 6.5-7.0 RCE漏洞CVE-2021-21972分析,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

0x01. 漏洞介绍

vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。

CVE-2021-21972 是Vcenter的一个未授权文件上传漏洞。该漏洞可以上传文件至vcenter服务器的任意位置。由于该服务System权限,可以任意写,可上传webshell并执行,如果是Linux环境并开放了ssh,可上传公钥直接通过ssh登录。

0x02. 漏洞分析

vCenter Server 的 vROPS 插件的 API 采用spring编写。部分敏感接口未经过鉴权,其中uploadova接口存在一个上传 OVA 文件的功能:

@RequestMapping(        value = {"/uploadova"},        method = {RequestMethod.POST}    )    public void uploadOvaFile(@RequestParam(value = "uploadFile",required = true) CommonsMultipartFile uploadFile, HttpServletResponse response) throws Exception {        logger.info("Entering uploadOvaFile api");        int code = uploadFile.isEmpty() ? 400 : 200;        PrintWriter wr = null;...        response.setStatus(code);        String returnStatus = "SUCCESS";        if (!uploadFile.isEmpty()) {            try {                logger.info("Downloading OVA file has been started");                logger.info("Size of the file received  : " + uploadFile.getSize());                InputStream inputStream = uploadFile.getInputStream();                File dir = new File("/tmp/unicorn_ova_dir");                if (!dir.exists()) {                    dir.mkdirs();                } else {                    String[] entries = dir.list();                    String[] var9 = entries;                    int var10 = entries.length;                    for(int var11 = 0; var11 < var10; ++var11) {                        String entry = var9[var11];                        File currentFile = new File(dir.getPath(), entry);                        currentFile.delete();                    }                    logger.info("Successfully cleaned : /tmp/unicorn_ova_dir");                }                TarArchiveInputStream in = new TarArchiveInputStream(inputStream);                TarArchiveEntry entry = in.getNextTarEntry();                ArrayList result = new ArrayList();
while(entry != null) {                    if (entry.isDirectory()) {                        entry = in.getNextTarEntry();                    } else {                        File curfile = new File("/tmp/unicorn_ova_dir", entry.getName());                        File parent = curfile.getParentFile();                        if (!parent.exists()) {                            parent.mkdirs();

目的是将 TAR 文件解压后上传到/tmp/unicorn_ova_dir目录,直接将 tar 文件名与/tmp/unicorn_ova_dir拼接并写入文件。

因此文件名中包含../绕过当前目录限制,上传文件至任意位置。

通常情况下可以在目标服务器上写入 JSP webshell 文件(服务是 System 权限,可以任意文件写),利用工具 https://github.com/NS-Sp4ce/CVE-2021-21972。

如果环境为Linux且开放了ssh,可以创建一个包含../../home/vsphere-ui/.ssh/authorized_keys的 tar 文件并上传,通过ssh登陆:

$ ssh 10.211.55.4 -lvsphere-uiVMware vCenter Server 7.0.1.00100Type: vCenter Server with an embedded Platform Services Controllervsphere-ui@bogon [ ~ ]$ iduid=1016(vsphere-ui) gid=100(users) groups=100(users),59001(cis)

0x03 检测poc

#!/usr/bin/env python# coding: utf-8from urllib.parse import urljoinfrom pocsuite3.api import POCBase, Output, register_poc, logger, requestsclass DemoPOC(POCBase):    vulID = ''    version = '1.0'    author = ['']    vulDate = '2021-02-24'    createDate = '2021-02-24'    updateDate = '2021-02-24'    references = ['']    name = 'VMware vCenter 未授权RCE漏洞'    appPowerLink = ''    appName = 'VMware vCenter'    appVersion = ' 7.0 U1c 之前的 7.0 版本、6.7 U3l 之前的 6.7 版本、 6.5 U3n 之前的 6.5 版本'    vulType = ''    desc = '''    VMware vCenter 未授权RCE漏洞    '''    samples = ['']    install_requires = ['']    def _verify(self):        result = {}        try:            vul_url = urljoin(self.url, "/ui/vropspluginui/rest/services/uploadova")            resp1 = requests.get(self.url)            resp2 = requests.get(vul_url)            if '/vsphere-client' in resp1.text and resp2.status_code == 405:                result['VerifyInfo'] = {}                result['VerifyInfo']['URL'] = self.url        except Exception as e:            logger.error(e)        return self.parse_output(result)    def _attack(self):        return self._verify()    def parse_output(self, result):        output = Output(self)        if result:            output.success(result)        else:            output.fail('Internet nothing returned')        return outputregister_poc(DemoPOC)

0x04 修复方式

vmware修复方法比较简单,直接关闭插件。

关于如何进行vCenter 6.5-7.0 RCE漏洞CVE-2021-21972分析问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注行业资讯频道了解更多相关知识。

很赞哦!
文件 漏洞 分析 服务 版本 问题 位置 接口 插件 文件名 方法 更多 服务器 权限 环境 目录 帮助 开放 控制 解答 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 sql数据库重启失败怎么办 焦作软件开发哪家专业 供电公司信息网络技术总结 小学网络安全和舆情 网络技术培训课程app 国家中学生网络安全报告 黄陂好的软件开发团队 rust加载服务器完成闪退 java 数据库加锁 b2b平台网络安全 北辰区电子网络技术答疑解惑 计算机网络技术发展前景趋势 哪家网络平台服务器比较流畅 紫荆网络安全科技园设计 软件开发读取本地音源中的音色 c 类操作数据库 中国网络安全中心是干嘛的 迷上数据库 一般软件开发是设计什么 华为学生服务器 百度软件开发最高奖 网络安全保障可避免 黄牛服务器是什么 phpcms配置数据库 长城服务器如何修改硬盘raid 软件开发文档字体要求 重庆知名软件开发公司 大学校园网络安全管理 网络安全一般是网络 方舟手游服务器驯boss

相关文章

0