VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972

文章来源｜MS08067安全实验室

本文作者：Taoing（WEB高级攻防班讲师）

0x00 漏洞描述

CVE-2021-21972 vmware vcenter的一个未任意位置，然后执行webshell即可。

0x01 影响版本

VMware vCenter Server 7.0系列 < 7.0.U1c

VMware vCenter Server 6.7系列 < 6.7.U3l

VMware vCenter Server 6.5系列 < 6.5 U3n

VMware ESXi 7.0系列 < ESXi70U1c-17325551

VMware ESXi 6.7系列 < ESXi670-202102401-SG

VMware ESXi 6.5系列 < ESXi650-202102101-SG 测试通过版本

VMware-VCSA-all-6.7.0-8217866

VMware-VIM-all-6.7.0-8217866 2021-02-24

0x02 简单漏洞利用

环境搭建参考：

https://blog.51cto.com/12218973/2496675（VMware vCenter 6.7）

1.漏洞判断

直接访问https://Your IP/ui/vropspluginui/rest/services/updateova ，或者https://ip/ui/vropspluginui/rest/services/getstatus 如果404、401，则代表不存在漏洞如果405 、200，则代表可能存在漏洞

2.漏洞利用

使用Tabbed Postman - REST Client工具 POST请求上传shell文件也可使用postman

注：返回状态码200 SUCCESS即上传成功使用冰蝎3.0连接shell 即可

坑：每个版本路径都不一样，这里需要自己去拼接 shell

地址：靶标/ui/resources/shell.jsp，

密码为冰蝎3.0默认密码 -

0x03 高阶漏洞利用

1.基本漏洞利用

https://github.com/ptoomey3/evilarc/blob/master/evilarc.py evilarc.py可创建一个zip文件，其中包含在其嵌入式路径中带有目录遍历字符的文件。如果应用程序或库没有阻止目录遍历字符，则可以使用evilarc生成zip文件，将其解压缩后将文件放置在目标系统上的任意位置。

python evilarc.py -d 2 -p 'testFolder\'

-o win -f winexpl.tar testUpload.txt

该winexpl.tar包括一个名为的文件....\testFolder\

testUpload.txt

通过如下POC上传文件（这里通过burpsuti抓包将上传的文件winexpl.tar重命名为.ova）可直接上传到C:\testFolder\testUpload.txt下

通过如下POC上传文件（这里通过burpsuti抓包将上传的

文件winexpl.tar重命名为.ova）

可直接上传到C:\testFolder\testUpload.txt下

可上传到C:\testFolder\testUpload.txt

2、Windows上获取RCE

1.需要找打创建文件的可写路径

2.找到的文件路径映射到可访问的Web根目录的文件夹结构中，够运行.jsp脚本，并且不需要授权通过上面上传的testUpload.txt文件属性，可知道用于该文件执行的用户是vsphere-ui

并且在windows目录下载，默认安装C:\ProgramData\VMware\vCenterServer\data\perfcharts\tc-instance\webapps\statsreport\该目录含有JSP执行文件权限(无需登录执行访问）

根据以上信息，可以指定一个tar文件

python evilarc.py -d 5 -p 'ProgramData\

VMware\vCenterServer\data\perfcharts\

tc-instance\webapps\statsreport' -o win -f

winexpl.tar testRCE.jsp

3、Linux上获得RCE

使用vsphere-ui用户的权限上传任意文件。如果我们将公钥上传到该用户的主目录，并尝试使用私钥通过SSH连接到服务器. 生成公钥对 ssh-keygen -t rsa 使用生成的公共密钥创建.tar 打包tar:

python evilarc.py -d 5 -p 'home/vsphere-ui/.ssh' -o unix -f linexpl.tar authorized_keys ssh vsphere-ui@Your IP POC使用：

修复方法：

按照官方提示，关闭插件https://kb.vmware.com/s/article/82374

Reference：

工具：https://github.com/horizon3ai/CVE-2021-21972

分析：https://swarm.ptsecurity.com/unauth-rce-vmware/ https://mp.weixin.qq.com/s/NWVe4jxpWMqQNHIAmYHI6g POC:https://github.com/QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC Exp payload:https://github.com/NS-Sp4ce/CVE-2021-21972

Taoing老师主讲

WEB高级攻防实战班第1期来袭

课程围绕：外围打点、边界突破、PHP审计、SRC漏洞挖掘、应急响应

课程大纲（最新）

*大纲仅作为参考，会根据当期进度有所变化（加客服获取高清课程导图）

课程目录（最新）

课程费用

每期班定价2999，第一期班首发价：2499（前50名送365元Web安全知识星球名额），每个报名学员都可享受一次免费的重听权益，一次没学懂就再来一遍，后续培训可任选一期来听。请有意参加培训的学员抓紧报名！

支持支付宝、信用卡、花呗分期，对公转账，可开发票！

学习资源

前50名报名同学，送365元Web知识星球名额，可提前先行学习Web安全相关知识，并提供课程中需要的相关软件和环境。

上课时间

每周一、二、三、四的晚上 19：00-21:00 ，共24天，48课时，为期6周。如果无法准时参加直播课程，在线培训的每节课程都会被录制成视频上传到学员区，可随时下载观看。

上课方式

培训采用在线直播+随堂录播+微信群解答的形式，无需等待，报名后立即进入“Web星球”开始预习。

讲师介绍

Taoing：MS08067安全实验室核心成员，Web安全知识星球合伙人，安恒信息安全高级工程师，擅长企业安全研究、情报分析、渗透测试，安全开发。

TtssGkf：MS08067安全实验室核心成员，Web安全知识星球合伙人，Defcon Group 86021议题分享者，致力于漏洞分析、代码审计、漏洞挖掘。

如何提前预习

为更顺利的完成课程相关内容，请同学一定要提前预习相关知识点，已经报名的同学，请购买实验室出品《Web安全攻防：渗透测试实战指南》一书或在赠送的MS08067实验室“Web安全知识星球”中学习相关的内容。

为什么选择MS08067直播培训

MS08067近年来在安全界的口碑还是有目共睹的，特别是对信安感兴趣的学生、爱好者做了些有意义的事情，是真心实意的为读者，绝无半点虚假，做星球的初衷也是为了满足读者对于图书配套视频的需求，不像一些培训把心思花在宣传、花在“卖教程”上，实验室4年出版了4本原创图书就可以看出我们的初心和技术能力。

此次培训围绕红队攻击中的实战应用，重点突出实战、干货、思路、深度。负责讲解的老师也是MS08067的资深核心骨干成员，拥有多年的实战工作经验，让您所学的技术可以在企业中真正用得上。

很多读者跟我反映过开始都是看视频、看书自学，但是一旦遇到实验报错就没法解决，遇到不懂的技术点也没人解答，本应该重点掌握的技术也没有掌握，100%的初学者都会或多或少的走些弯路，学了1-2年还是效率低、进步慢，有的甚至就放弃了信安这个行业，学习信安要有圈子，也要有方法，自学当然没有问题，但该花的钱一分也不能少花。

最后再说下现在的信安培训也是鱼龙混杂，有很多挂羊头卖狗肉的也有很多商业化很成熟的机构，我们只希望做自己、多出书，然后做些小而精的培训，仅此而已。

你距离大佬，只差一个决定

详情咨询请联系小客服

扫描下方二维码加入星球学习

加入后邀请你进入内部微信群，内部微信群永久有效！

来和5000+位同学一起加入星球学习吧！