🐮Vmvare vSphere
Vmware产品系列
Ø Workstation Pro:面向Windows虚拟化
Ø Fusion for Mac:面向Mac虚拟化
Ø ThinApp:应用虚拟化解决方案
Ø Vmware Enterprise PKS:面向多云企业和服务提供商生产级Kubernetes
Ø vSAN:vSphere原生存储,存储虚拟化
Ø vRealize Operations:面向私有云、混合云和多云环境自动驾驶式IT运维维管理平台
Ø Vmware vSphere:服务器虚拟化平台
n Vmware把产品统称为vSphere
vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。
vSphere有两个核心组件:
ESXi
用于创建并运行虚拟机和虚拟设备的虚拟化平台
vCenter
用于管理网络中连接的多个主机,并将主机资源池化。
可以从官网下,但是太麻烦:
vCenter Server Appliance(VCSA),用于安装在Linux
Vmware Integrated Management(VIM),用于安装在Windows
ESXi相关配置
密码策略
大小写字母、数字和特殊字符,密码长度大于7小于40
默认情况下,10次尝试,锁定15分钟后自动解锁。
默认情况下,ESXi Shell 和 SSH 服务不会运行,只有 root 用户才能登录到直接控制台用户界面
ESXi默认访问不了SSH
管理 --> 服务 --> SSH服务开启
在连接ESXi中,可以看到这台是否已经连接了vCenter
相关命令:
https://blog.51cto.com/u_4674157/
重置密码
场景:拿到WebShell之后,想要登录vCenter,而且密码解不出来,可以强制重置密码。
使用HTTPS PUT SSH密钥
默认情况下,ESXiShell 和 SSH 服务不会启动,只有 root 用户才能登录到直接控制台用户界面,开启SSH后只允许密钥访问,使用 HTTPS PUT 上传 SSH 密钥。
密钥类型位置:
root 用户的授权密钥文件
您必须对主机具有完全管理员特权才可上载此文件。
esxi 401 认证,是服务器密码,不是前台密码。
漏洞利用
Ø 查看Vcenter版本信息:/sdk/vimServiceVersions.xml
CVE-2021-21972
影响范围
Ø VMware vCenter Server 7.0系列 < 7.0.U1c
Ø VMware vCenter Server 6.7系列 < 6.7.U3l
Ø VMware vCenter Server 6.5系列 < 6.5 U3n
Ø VMware ESXi 7.0系列 < ESXi70U1c-17325551
Ø VMware ESXi 6.7系列 < ESXi670-202102401-SG
Ø VMware ESXi 6.5系列 < ESXi650-202102101-SG
Windowst利用
Windows vCenter程序路径:
Linux利用
【如果不成功,尝试本地创建vsphere-ui之后再生成密钥】
CVE-2021-21985
Ø vCenter Server 6.5
Ø vCenter Server 6.7
Ø vCenter Server 7.0
Ø Cloud Foundation (vCenter Server) 3.x
Ø Cloud Foundation (vCenter Server) 4.x
只有Linux
https://github.com/r0ckysec/CVE-2021-21985
CVE-2021-22005
影响版本:
7.0,6.7,6.5,4.x,3.x
https://github.com/r0ckysec/CVE-2021-22005(EXP)
vCenter < 6.0 S2-045
后渗透利用
以下一切操作的前提都需要权限
拿到密码后可利用:
Ø 读取虚拟机的配置
Ø 查看虚拟机文件
Ø 删除虚拟机文件
Ø 向虚拟机上传文件
Ø 从虚拟机下载文件
Ø 在虚拟机中执行命令
在旧的REST API(低于vSphere7.0U2)不支持以下操作:
Ø 查看虚拟机文件
Ø 删除虚拟机文件
Ø 向虚拟机上传文件
Ø 从虚拟机下载文件
Ø 在虚拟机中执行命令
SharpSphere
Dump内存获取密码
扩展:qcow2后缀
PySharpSphere
https://github.com/RicterZ/PySHarpSphere
此工具是通过pyVmomi来实现
实际上只要登录到vCenter界面都可以操作:
创建快照 --> 数据存储 --> 下载快照
PowerCLI
官方文档
:https://developer.vmware.com/docs/powercli/latest/vmware.vimautomation.core/commands/get-vm/#Default
Windows执行虚拟机命令的前提条件是装了Vmware Tools才能执行命令。
走的流量是加密
vCenter SAML Certificates
拿到WebShell后,不想重置管理员密码的情况下。
https://github.com/horizon3ai/vcenter_saml_login
读取data.mdb证书信息,通过证书请求获取管理员cookie
访问https://<VCSA>/ui的VCSA实例,在/ui路径下添加cookie
解密vpxuser
https://github.com/shmilylty/vhost_password_decrypt
Last updated
Was this helpful?