开场白:别把鸡蛋放一个篮子里?不,黑客喜欢一锅端!
最近手头紧,啊不,最近在项目上遇到一套漏洞百出的vCenter集群,部署在内网里。这玩意儿,说白了,就是个虚拟机“总管家”,管着一堆ESXI主机。这不就跟进了“聚宝盆”一样?必须得好好研究研究,顺便把过程记录下来。各位看官,轻点喷哈,毕竟我也是在学习的路上。
拿下vCenter:从“小弟”到“大哥”的华丽转身
内网扫了一圈,fscan直接亮红灯,指着一台vCenter服务器说:“嘿,老兄,这里有个RCE漏洞,CVE-2021-21972,赶紧看看!”
搞vCenter,先摸清底细。版本、域名,一个都不能少。域名怎么搞?两种方法:要么LDAP匿名绑定,直接问域控;要么HTTP重定向,曲线救国。我选了后者,简单粗暴。对了,友情提示:密码喷洒是个好东西,能帮你绕过SSO登录锁定,慢慢磨。
当然,既然有RCE漏洞,那还客气啥?直接上EXP,一顿操作猛如虎。
拿到webshell,权限是普通用户,有点尴尬。不过没关系,还有CVE-2021-3156,提权神器!
https://github.com/HynekPetrak/HynekPetrak/blob/master/take_over_vcenter_670.md
https://raw.githubusercontent.com/worawit/CVE-2021-3156/main/exploit_userspec.py
结果第一次跑就报错了,提示权限不足。
仔细一看,原来是脚本想打开/dev/null,但是没权限。简单,直接改脚本!
发现null_fd这玩意儿就是个摆设,记录日志用的。直接改成1.txt,输出到文件里总行了吧?
再次运行,成了!脚本帮我创建了一个gg用户(管理员权限,密码gg),直接su到root,提权成功!
赶紧把webshell备份到犄角旮旯里,改个名叫update.jsp,访问路径是https://内网IP/idm/..;/update.jsp。重新用哥斯拉连上,这下是真·root权限了!
顺手dump一下/etc/shadow,看看能不能搞到root密码。
root:$6$QL15TDCu$8HetMyfCTNW6LDS5XKb0yvY7SZqxa55PExH9SKb1pjnzSr/4yVBkOQLAghKwWah3NuqxWIaSFJZ//:0:0:365:7:::
扔到在线破解网站,没反应。算了,先放着,不影响后续操作。
绕过SAML:直捣vCenter“龙穴”
拿到vCenter后台权限,下一步当然是搞控制台了。那里管着一堆ESXI虚拟机,都是业务系统,想想就刺激。要绕过SAML登录,思路是这样的:
vCenter SSO:1. 用户访问vCenter2. vCenter生成SAML Request,通过浏览器携带参数重定向到Idp地址3. 用户在Idp地址完成认证4. Idp生成SAML Response(包含身份断言,签名),通过自动门提交表单将其发送给vCenter5. vCenter 对 SAML Response 的内容进行检验,通过后返回session cookie6. 用户成功登录
简单来说,就是vCenter和IdP(身份提供商)之间互相“确认眼神”。我们要做的,就是绕过这个“眼神确认”。
祭出三好学生脚本vCenterLDAP_Manage.py,按照步骤:获取域控信息->添加新用户admin->把新用户塞进管理员组。
脚本地址:https://github.com/3gstudent/Homework-of-Python/blob/master/vCenterLDAP_Manage.py
先获取域控信息:
然后添加新用户admin:
最后把admin扔进管理员组:
搞定!vcenter管理员账号是admin@ZXZ.COM.local,密码是P@ssWord123。
登录vcenter web控制台:
好家伙,管着68台服务器,还有一个域环境ZXX.COM。目标明确:拿下域控机器Win2k8R2_DC!
克隆域控:瞒天过海,偷梁换柱
直接在真机上搞域控?风险太大。先克隆一台再说。菜单Actions->Clone->Clone to Virtual Machine...,克隆机命名为Win2K8R2_Test。耐心等待,克隆完成。
下载一个启动盘镜像kon_boot.iso,挂载到克隆机上。编辑虚拟机,在虚拟机硬件里找到CD/DVD drive 1,选择kon_boot.iso。启动克隆机。
启动后狂按5下shift,弹出cmd.exe。添加管理员:
登录克隆机:
总结一下:克隆虚拟机->挂载kon_boot.iso->shift后门弹出cmd->添加管理员->登录克隆机。
域内漫游:抽丝剥茧,一网打尽
用vcenter服务器攻击最后添加的账号test/Admin@123登录域控克隆机,开始域内信息搜集:
用mimikatz导出所有用户hash,扔到CMD5在线破解,成功破解用户ZXX.COMackupuser的明文密码,admiN@123。
注意,backupuser是域管理员!用backupuser/admiN@123登录真正的域控主机:
再次用impacket的secretsdump抓取域内所有用户hash:
横向渗透:步步为营,攻城略地
目标:域内主机A
用域管账号backupuser登录域内主机A,用Impacket的wmiexec+net use进命令行,上传密码抓取工具GetPass_x64,拿到administrator/TTT@321的明文密码。也可以上传免杀木马上线,抓hash和明文密码。
远程桌面登录,发现Share文件夹里全是技术文档:
目标:域内主机B(文件存储服务器)
用Impacket的wmiexec+net use上传免杀木马上线,抓hash和明文密码。
开启远程桌面:
reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
防火墙放行3389端口:
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
开启3389端口后,远程桌面登录:
总结:vCenter,一把双刃剑
站在攻防两端,我们来聊聊vCenter:
红队视角: vCenter就是个“小域控”,拿下它,等于打开了整个内网的大门。里面的虚拟机、ESXI主机,都是你的“猎物”。
运维视角: 关注vCenter自身的安全漏洞,及时打补丁,积极应对来自终端的攻击威胁。亡羊补牢,为时未晚。
```
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
