VMware vCenter 实战利用方式总结

1. vCenter 简介

VMware vCenter 是 VMware 虚拟化环境的核心管理平台，用于集中管理 ESXi 主机和虚拟机。在内网渗透中，vCenter 通常是高价值目标，攻陷后可控制整个虚拟化环境。

2. 常见攻击面

2.1 Web 控制台漏洞

• CVE-2021-21972（SSRF + 文件上传）

  • 影响版本：vCenter 6.5-7.0
  • 利用方式：通过 /ui/vropspluginui/rest/services/uploadova 上传恶意插件，实现 RCE。
  • 修复补丁：VMware 已发布补丁，需升级至最新版本。

• CVE-2021-22005（文件上传 + RCE）

  • 影响版本：vCenter 7.0
  • 利用方式：通过 analytics 服务上传恶意文件，触发代码执行。

2.2 身份认证绕过

• CVE-2021-21985（API 身份验证绕过）
  • 影响版本：vCenter 6.5-7.0
  • 利用方式：绕过 API 认证，直接调用高危接口。

2.3 数据库利用

• Cookie 替换登录
  • 通过获取 data.mdb 数据库文件（默认路径：/storage/db/vmware-vmdir/data.mdb），提取管理员会话 Cookie。
  • 工具：使用 mdb-tools 或 Python 脚本解析数据库。
  • 替换浏览器 Cookie 直接登录 Web 控制台。

2.4 VAMI 接口攻击

• vCenter Appliance Management Interface (VAMI) 是管理界面，默认端口 5480。
• CVE-2021-21975（VAMI 未授权 RCE）
  • 利用方式：通过未授权访问上传恶意脚本。

3. 实战利用步骤

3.1 信息收集

1. 端口扫描：探测 443（HTTPS）、5480（VAMI）、902（ESXi）等端口。
2. 版本识别：通过 Web 页面或 HTTP 响应头获取 vCenter 版本。

3.2 漏洞利用

1. Web 控制台攻击：

   • 使用公开 EXP（如 CVE-2021-21972）上传 WebShell。
   • 示例命令：

     curl -k -X POST -F "file=@shell.jsp" "https://<vCenter_IP>/ui/vropspluginui/rest/services/uploadova"
     

   • 访问上传路径执行代码。

2. 数据库提取 Cookie：

   • 通过任意文件读取或漏洞获取 data.mdb。
   • 解析数据库：

     mdb-export data.mdb vmdir_entry | grep "vmware-admin"
     

   • 提取 VSESSIONID 或 auth_token。

3. 横向移动：

   • 通过 vCenter 管理 ESXi 主机，利用 ESXi 漏洞（如 CVE-2019-5544）进一步渗透。

3.3 权限维持

1. 创建后门账户：
   • 通过 Web 控制台或 API 添加管理员用户。
2. 计划任务：在 ESXi 主机上部署持久化脚本。

4. 防御建议

1. 及时更新：升级至最新版本，修复已知漏洞。
2. 网络隔离：限制 vCenter 管理接口的访问来源。
3. 加固配置：
   • 关闭不必要的服务（如 VAMI 外部访问）。
   • 启用 MFA 和强密码策略。
4. 日志监控：审计 API 调用和异常登录行为。

5. 常见问题

• Q：如何获取 data.mdb 文件？

  • A：需通过文件读取漏洞或已获得的服务器权限访问 /storage/db/vmware-vmdir/ 目录。

• Q：漏洞利用失败的可能原因？

  • A：目标已打补丁、路径被修改、网络策略拦截等。

6. 参考工具

1. vCenter-Scan-Loophole：自动化漏洞扫描工具。
2. mdb-tools：解析 vCenter 数据库。

注：本文仅用于安全研究，未经授权测试属于违法行为。