碼上快樂

相關內容    簡體    繁體

【漏洞復現】Vmware vcenter未授權任意文件RCE

本文轉載自   查看原文   2021-02-28 23:35   469    漏洞復現/ vCenter Server/ 滲透測試/ 未授權任意文件RCE

0x00 Vmware vcenter信息

vSphereVMware推出的虛擬化平台套件,包含ESXivCenter Server等一系列的軟件。其中vCenter Server ESXi的控制中心,可從單一控制點統一管理數據中心的所有vSphere主機和虛擬機,使得IT管理員能夠提高控制能力,簡化入場任務,並降低IT環境的管理復雜性與成本。

vSphere Client(HTML5)vCenter Server插件中存在一個遠程執行代碼漏洞。未授權的攻擊者可以通過開放443端口的服務器向vCenter Server發送精心構造的請求,從而在服務器上寫入webshell,最終造成遠程任意代碼執行。

fofa查詢

語法:

title="+ ID_VC_Welcome +"

app=”vmware-ESX”||app=”vmware-VirtualCenter”||app=”vmware-vCenter”

0x01 影響版本

  • 7.0 U1c 之前的 7.0 版本
  • 6.7 U3l 之前的 6.7 版本
  • 6.5 U3n 之前的 6.5 版本

0x02 代碼分析

vCenter ServervROPS插件的API未經過鑒權,存在一些敏感接口。其中 uploadova 接口存在一個上傳 OVA 文件的功能:

   @RequestMapping(
      value = {"/uploadova"},
      method = {RequestMethod.POST}
   )
   public void uploadOvaFile(@RequestParam(value = "uploadFile",required = true) CommonsMultipartFile uploadFile, HttpServletResponse response) throws Exception {
      logger.info("Entering uploadOvaFile api");
      int code = uploadFile.isEmpty() ? 400 : 200;
      PrintWriter wr = null;
      try {
         if (code != 200) {
            response.sendError(code, "Arguments Missing");
            return;
         }
         wr = response.getWriter();
      } catch (IOException var14) {
         var14.printStackTrace();
         logger.info("upload Ova Controller Ended With Error");
      }
      response.setStatus(code);
      String returnStatus = "SUCCESS";
      if (!uploadFile.isEmpty()) {
         try {
            logger.info("Downloading OVA file has been started");
            logger.info("Size of the file received  : " + uploadFile.getSize());
            InputStream inputStream = uploadFile.getInputStream();
            File dir = new File("/tmp/unicorn_ova_dir");
            if (!dir.exists()) {
               dir.mkdirs();
            } else {
               String[] entries = dir.list();
               String[] var9 = entries;
               int var10 = entries.length;
               for(int var11 = 0; var11 < var10; ++var11) {
                  String entry = var9[var11];
                  File currentFile = new File(dir.getPath(), entry);
                  currentFile.delete();
               }
               logger.info("Successfully cleaned : /tmp/unicorn_ova_dir");
            }
            TarArchiveInputStream in = new TarArchiveInputStream(inputStream);
            TarArchiveEntry entry = in.getNextTarEntry();
            ArrayList result = new ArrayList();
            while(entry != null) {
               if (entry.isDirectory()) {
                  entry = in.getNextTarEntry();
               } else {
                  File curfile = new File("/tmp/unicorn_ova_dir", entry.getName());
                  File parent = curfile.getParentFile();
                  if (!parent.exists()) {
                     parent.mkdirs();
                  }
                  OutputStream out = new FileOutputStream(curfile);
                  IOUtils.copy(in, out);
                  out.close();
                  result.add(entry.getName());
                  entry = in.getNextTarEntry();
               }
            }
            in.close();
            logger.info("Successfully deployed File at Location :/tmp/unicorn_ova_dir");
         } catch (Exception var15) {
            logger.error("Unable to upload OVA file :" + var15);
            returnStatus = "FAILED";
         }
      }
      wr.write(returnStatus);
      wr.flush();
      wr.close();
   }

代碼邏輯是將TAR文件解壓后上傳到 /tmp/unicorn_ova_dir 目錄。注意到如下代碼:

                while(entry != null) {
                    if (entry.isDirectory()) {
                        entry = in.getNextTarEntry();
                    } else {
                        File curfile = new File("/tmp/unicorn_ova_dir", entry.getName());
                        File parent = curfile.getParentFile();
                        if (!parent.exists()) {
                            parent.mkdirs();

直接將TAR的文件名與 /tmp/unicorn_ova_dir 拼接並寫入文件。如果文件名內存在 ../ 即可實現目錄遍歷。

0x03 漏洞復現

利用代碼(Sp4ce )https://github.com/NS-Sp4ce/CVE-2021-21972

0x04 修復建議

  • vCenter Server7.0版本升級到7.0.U1c
  • vCenter Server6.7版本升級到6.7.U3l
  • vCenter Server6.5版本升級到6.5 U3n

轉載請注明:Adminxe's Blog » 【漏洞復現】Vmware vcenter未授權任意文件RCE


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Vmware vcenter未授權任意文件上傳(CVE-2021-21972)復現 通達OA任意文件刪除/OA未授權訪問+任意文件上傳RCE漏洞復現 通達OA任意文件刪除/OA未授權訪問+任意文件上傳RCE漏洞復現 CVE-2021-21972 Vmware vcenter未授權任意文件漏洞分析 VMware vCenter任意文件讀取漏洞 ThinkAdminV6未授權列目錄、任意文件讀取漏洞復現 Grafana 未授權任意文件讀取漏洞 Grafana 未授權任意文件讀取漏洞 【漏洞復現】ThinkAdmin v5和v6 未授權列目錄任意文件讀取(CVE-2020-25540) 通達OA任意文件上傳+文件包含RCE漏洞復現(附自寫EXP)
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM