玩转VMware之vRealize Operations Manager组合漏洞实现RCE

渗透技巧 3年前 (2022) admin
1,135 0 0
概述


vRealize Operations 提供跨物理、虚拟和云基础架构的智能运维管理以及从应用程序到存储的可见性。使用基本策略的自动化,操作团队实现关键过程的自动化并提高 IT 效率。


VMWare vRealizes Operations曝光了多个漏洞:


  • CVE-2021-21975, vRealize Operations Manager API未授权SSRF;

  • CVE-2021-22023, vRealize Operations Manager API不安全对象引用;

  • CVE-2021-21983,vRealize Operations Manager API目录穿越任意文件写。


组合这些漏洞可以实现完整RCE利用链。


环境搭建


下载ova虚拟机,启动后进入网页设置:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


选择新安装,设置管理员凭证:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


使用默认证书:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


设置NTP和可用性:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


可继续添加节点:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


完成后等待首次使用初始化:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


关于CaSA接口


漏洞主要产生于`vRealizes`产品的`CaSA`接口服务,运行目录位于`/usr/lib/vmware-casa`:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


对外可通过443端口访问,协议为https:


curl --request GET --include --insecure --user admin:PASSWORD --silent https://<host-name-or-ip-address>/casa/ …
认证前SSRF


查看`cas-security-context.xml`,定位到多个接口无需认证便能登录,注意到其中的`/nodes/thumbprints`:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


在`ClusterDefinitioinController`中定义路由规则:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


`getNodesThumbPrints`调用`HttpMapFunction`发送HTTP请求:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


`execute`经过执行最终发送请求,对输入内容没有进行检查过滤:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


访问`/casa/nodes/thumbprints`,通过POST参数指定目标地址,经测试发送的请求为https且支持自签名SSL证书。默认访问路径为`/casa/node/thumbprint`,可以通过`?`拼接指定新的路径:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


SSRF导致管理员HASH泄露


`/private/security/passwordsync`接口获取密码数据:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


返回内容包含hash内容,造成信息泄露:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


通过SSRF访问`https://127.0.0.1/casa/private/security/passwordsync,读取到格式为`SHA256、SHA512`的`admin`用户HASH,破解成功后便可登录443端口:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


maintenanceAdmin账户凭证泄露


上文提到可以泄露登录HASH,但并不能保证完全被控制。在捕获SSRF请求中发现请求头中包含一个Basic Auth字段,用户和密码如下:


maintenanceAdmin:CX8mXScyXBDrdeHYWv*****


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


惊讶的发现使用该内置账户可直接登录443端口,相当于一个后门账户:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


且认证后显示登录用户为`admin`,属于高权限用户组:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


也可以使用这个密码直接访问`/casa/nodes/thumbprints`接口:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


重置admin密码


既然有了管理权限,就可更改admin账户密码:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


之后使用22端口登录:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


通过接口调用方法修改密码:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


通过接口调用启用ssh:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


路径穿越GetShell


问题接口位于`/private/config/slice/ha/certificate`,进行证书处理:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


最终调用`FileCopyUtils.copy`拷贝文件:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


未对输入输出进行检查,导致目录穿越问题产生:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


通过`/casa/private/config/slice/ha/certificate` 穿越上传shell:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


访问webshell,但需要添加`BasicAuth`头:


玩转VMware之vRealize Operations Manager组合漏洞实现RCE



由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,且听安全团队及文章作者不为此承担任何责任。


玩转VMware之vRealize Operations Manager组合漏洞实现RCE


点关注,不迷路!

玩转VMware之vRealize Operations Manager组合漏洞实现RCE

原文始发于微信公众号(且听安全):玩转VMware之vRealize Operations Manager组合漏洞实现RCE

版权声明:admin 发表于 2022年4月25日 上午7:21。
转载请注明:玩转VMware之vRealize Operations Manager组合漏洞实现RCE | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...