内网中vCenter集群攻击全程实录<\/h1>

攻击概述<\/h2>
本文详细记录了针对内网环境中vCenter集群的完整攻击过程，涵盖从初始信息收集到最终获取集群控制权的各个关键步骤。<\/p>

攻击流程<\/h2>

1. 信息收集阶段<\/h3>

网络拓扑探测<\/strong><\/p>

使用nmap进行内网扫描，识别vCenter服务器IP<\/li>
确认vCenter版本信息：nmap -sV -p 443 <vCenter_IP><\/code><\/li>
检查开放端口，重点关注443(HTTPS)、5480(管理界面)、427(服务定位协议)<\/li> <\/ul> <\/li>
版本识别<\/strong><\/p> 通过HTTP响应头获取版本信息<\/li> 访问https:\/\/<vCenter_IP>\/sdk\/vimServiceVersions.xml<\/code>获取详细版本<\/li> <\/ul> <\/li> <\/ol> 2. 漏洞利用<\/h3> CVE-2021-21972漏洞利用<\/strong><\/p> 确认vCenter版本在6.5-7.0之间<\/li> 构造恶意请求上传WebShell： POST \/ui\/vropspluginui\/rest\/services\/uploadova HTTP\/1.1 Host: <vCenter_IP> Content-Type: multipart\/form-data <\/code><\/pre> <\/li> 上传包含恶意代码的ova文件<\/li> <\/ul> <\/li> WebShell部署<\/strong><\/p> 上传位置通常为\/usr\/lib\/vmware-vsphere-ui\/server\/work\/deployer\/s\/global\/<random>\/0\/h5ngclient.war\/<\/code><\/li> 通过访问https:\/\/<vCenter_IP>\/ui\/h5ngclient\/<malicious_file><\/code>验证WebShell<\/li> <\/ul> <\/li> <\/ol> 3. 权限提升<\/h3> 获取vCenter服务账户权限<\/strong><\/p> 通过WebShell执行命令获取服务账户信息<\/li> 查找vCenter配置文件中的数据库凭证<\/li> <\/ul> <\/li> 访问vCenter数据库<\/strong><\/p> 连接PostgreSQL数据库：psql -h 127.0.0.1 -U vc -d VCDB<\/code><\/li> 查询关键表获取管理员凭证哈希<\/li> <\/ul> <\/li> <\/ol> 4. 横向移动<\/h3> SSH隧道建立<\/strong><\/p> 利用获取的凭证建立SSH连接<\/li> 设置动态端口转发：ssh -D 1080 <user>@<vCenter_IP><\/code><\/li> <\/ul> <\/li> ESXi主机枚举<\/strong><\/p> 通过vSphere API获取连接的ESXi主机列表<\/li> 检查主机版本和补丁状态<\/li> <\/ul> <\/li> <\/ol> 5. 持久化控制<\/h3> 后门账户创建<\/strong><\/p> 在vCenter中创建隐藏管理员账户<\/li> 修改现有账户权限<\/li> <\/ul> <\/li> 定时任务设置<\/strong><\/p> 通过cron或Windows计划任务维持访问<\/li> 部署内存驻留型恶意软件<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 及时更新<\/strong><\/p> 保持vCenter和ESXi主机最新补丁状态<\/li> <\/ul> <\/li> 网络隔离<\/strong><\/p> 将vCenter管理网络与其他业务网络隔离<\/li> 限制管理接口的访问来源<\/li> <\/ul> <\/li> 监控措施<\/strong><\/p> 启用vCenter操作日志并集中收集<\/li> 监控异常API调用和文件上传行为<\/li> <\/ul> <\/li> 权限管理<\/strong><\/p> 实施最小权限原则<\/li> 定期审计账户权限<\/li> <\/ul> <\/li> 备份策略<\/strong><\/p> 定期备份vCenter配置和虚拟机<\/li> 测试备份恢复流程<\/li> <\/ul> <\/li> <\/ol> 关键工具和技术<\/h2> 扫描工具<\/strong><\/p> nmap<\/li> vCenter版本检测脚本<\/li> <\/ul> <\/li> 漏洞利用<\/strong><\/p> 公开的CVE-2021-21972利用脚本<\/li> WebShell生成工具<\/li> <\/ul> <\/li> 凭证提取<\/strong><\/p> pg_dump<\/li> hashcat<\/li> <\/ul> <\/li> 横向移动<\/strong><\/p> chisel<\/li> proxychains<\/li> <\/ul> <\/li> 持久化<\/strong><\/p> PowerCLI脚本<\/li> 隐蔽后门技术<\/li> <\/ul> <\/li> <\/ol> 攻击检测指标<\/h2> 网络层面<\/strong><\/p> 对\/ui\/vropspluginui\/rest\/services\/uploadova的异常POST请求<\/li> 非常规端口上的WebShell访问<\/li> <\/ul> <\/li> 主机层面<\/strong><\/p> \/usr\/lib\/vmware-vsphere-ui\/server\/work目录下的异常文件<\/li> 异常的数据库查询操作<\/li> <\/ul> <\/li> 日志层面<\/strong><\/p> 短时间内大量失败的登录尝试<\/li> 管理员账户的异常权限变更<\/li> <\/ul> <\/li> <\/ol>

内网中vCenter集群攻击全程实录<\/h1>

攻击概述<\/h2> 本文详细记录了针对内网环境中vCenter集群的完整攻击过程，涵盖从初始信息收集到最终获取集群控制权的各个关键步骤。<\/p>

攻击流程<\/h2>

攻击概述<\/h2>
本文详细记录了针对内网环境中vCenter集群的完整攻击过程，涵盖从初始信息收集到最终获取集群控制权的各个关键步骤。<\/p>