记一次攻防演练之vcenter后渗透利用

这篇具有很好参考价值的文章主要介绍了记一次攻防演练之vcenter后渗透利用。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

记一次攻防演练之vcenter后渗透利用

1. 说明

很早之前的一次攻防演练,主要是从web漏洞入手,逐渐学习vcenter后利用技术。过程由于太长,很多细节都省略了,中间踩坑、磕磕绊绊的地方太多了。。。
由于敏感性,很多地方都是打码或者是没有图,按照回忆整理的,见谅!

1. confluence漏洞

根据打点的记录,找到了一个confluence的界面:
记一次攻防演练之vcenter后渗透利用

1.1 反弹shell

经过验证,存在cve-2022-26134漏洞,直接利用漏洞反弹shellvps

记一次攻防演练之vcenter后渗透利用
经过分析,当前为实体机,但是权限较低,这也正常,大部分都是这个权限。

1.2 提权

先进行信息搜集,看下内核版本之类的:
记一次攻防演练之vcenter后渗透利用
看到了当前为centos,尝试使用cve-2021-4034进行提权,将文件传到机器上之后,再进行编译,然后执行:

记一次攻防演练之vcenter后渗透利用
此时顺利获取到了root权限。
在此期间,发现机器中还有的门罗币的一些操作:
记一次攻防演练之vcenter后渗透利用
因为当前机器仅支持密钥登录,在密钥中看到了明显的入侵痕迹。所以就不进行登陆了。
至此,入口机的操作到此结束。

2. 内网扫描

在入口机上发现了一共有两个有效子网ip,对其分别进行了扫描,发现如下:
记一次攻防演练之vcenter后渗透利用

192.168.122.1/24扫描,只发现了一个ip,也就是当前正在使用的ip地址,虽然发现了一些其他的漏洞,但是参考意义不大:
记一次攻防演练之vcenter后渗透利用
10.110.11.1/24段进行扫描的时候,发现了一些有用的漏洞,其中包含vcenter的,由于内容太多,在这里分享一部分:

[+] NetInfo:
[*]10.110.11.10
   [->]a1-dc
   [->]10.110.11.10
[+] https://10.110.11.30 poc-yaml-vmware-vcenter-unauthorized-rce-cve-2021-21972 
 

在这里发现了一台dc(自己标注的主机名)和一个cve-2021-21972漏洞的机器,那下面就转战vcenter了。毕竟vcenter被称为小域控。
当然,在这里还需要搭建隧道等,我在这里就对此省略不提了。

3. vcenter漏洞

对于这种vcenter漏洞和后渗透来说,先拿到shell,提权到root,进后台,操作机器。
一般进后台有三种方法:

  1. 找到mdb文件,生成证书文件,再生成cookie,进后台。
  2. root权限添加新用户。
  3. 重置管理员密码,使用新账密进入后台。

3.1 版本探测

首先是版本探测:
记一次攻防演练之vcenter后渗透利用
当前版本是6.7.2,虽然扫出来的是21972漏洞,但是很多时候这种机器有概率存在cve-2021-22005漏洞,之所以尝试22005,主要是21972获得的权限不是root的,到时候还需要提权,很麻烦。

2.2 getshell

在这里使用的是cve-2021-22005,挂上代理之后,先上传作者的木马上去,直接一把梭:
记一次攻防演练之vcenter后渗透利用
这样的好处是作者的木马是网页版的命令执行,有些时候会显示似乎是已经上传成功了,但是验证的时候没有回显,以前遇到过好多次都是误报。
记一次攻防演练之vcenter后渗透利用
证明确实存在22005这个漏洞,那就上传自己的马儿上去:
记一次攻防演练之vcenter后渗透利用
在这里上传的是蚁剑的,因为在这里最初尝试过哥斯拉的,发现上传了无法连接,最后蚁剑是忽略了https证书才能连接:
记一次攻防演练之vcenter后渗透利用
当前权限是root
理论上接下来就是获取cookie到后台,再操作机器。。。。。
整个流程看起来非常的流畅。但是坑的点随之而来~

3.3 获取cookie(失败)

以下的操作可以参考这个链接,我都是在这个链接和s老板的基础上学习到的:
https://daidaitiehanhan.github.io/2022/04/18/vCenter2021%E5%87%A0%E4%B8%AA%E6%BC%8F%E6%B4%9E%E5%8F%8A%E5%90%8E%E6%B8%97%E9%80%8F/#%E6%8F%90%E6%9D%83
不懂的,可以先看这个。
流程就是:在这里获取cookie之后,然后直接登录vcenter的网页版后台(想着都很美)
一般来说,对mdb数据操作,有两种方法:

  • 一个是在vcenter机器上用脚本获取
  • 第二种是下载到本地用脚本获取。

3.3.1 本地执行脚本

找到mdb数据,然后解密:

/storage/db/vmware-vmdir/data.mdb

在执行的时候,在蚁剑上使用命令行执行会特别慢,只能获取到一个文件,因为当前vcenter的机器出网,所以直接反向弹到vps上,用root权限的交互式命令行来执行,同样的问题,执行反馈特别慢,而且执行会出现一些莫名其妙的错误:
记一次攻防演练之vcenter后渗透利用

直接告诉我证书为空,我尼玛。。。
最后发现,可能的原因是mdb文件太大了,文件1个G还要多,没法搞(只是怀疑),一般攻防里面这种文件大概不超过100M
记一次攻防演练之vcenter后渗透利用

3.3.2 本地执行

挂隧道,用小水管,把文件慢慢慢慢慢慢慢下载到本地来,再试试本地:
记一次攻防演练之vcenter后渗透利用
直接g,看来这种方法肯定是不行了。

3.4 添加用户(失败)

按照大佬的方法,此时来添加新用户到vcenter后台,用户添加脚本:
https://github.com/3gstudent/Homework-of-Python/blob/master/vCenterLDAP_Manage.py
记一次攻防演练之vcenter后渗透利用

看似很轻松的操作,我开始按照提示先添加账号,再添加到管理组:
记一次攻防演练之vcenter后渗透利用
在添加到管理组的时候,和别的师傅不一定的点就是在这里发生了报错:
记一次攻防演练之vcenter后渗透利用

果然,登录的时候直接g。。。

3.5 重置密码(成功)

没有办法了,来重置密码吧,虽然还有其他的路子(菜)
充值秘密会修改管理员的密码,所以这个操作需要谨慎
首先查询域名,再在shell中执行重置密码的功能:
查询域名:

/usr/lib/vmware-vmafd/bin/vmafd-cli get-domain-name --server-name localhost

重置密码,在shell中执行:

/usr/lib/vmware-vmdir/bin/vdcadmintool

选择3,输入用户名:Administrator@xxxxx,然后回车即可:

记一次攻防演练之vcenter后渗透利用
终于,进入后台了,一共99台机器,其中那个dc机器也在里面:
记一次攻防演练之vcenter后渗透利用
到这就结束了吗?更大的困难还在后面。。。
眼看dc机器在里面,那就想办法登录上去,由于dc机器正在运行,且锁屏,所以就有了下文去想办法获取dc机器的hash

4. dc机器hash获取

在这里获取hash有两个大方向:

  • 做快照,下载快照,用Volatility来取证获取hash(适合流量无线和下载比较快的)
  • 做克隆,cd盘启动,抓hash

4.1 打快照下载法

这种适合网速不错、能短时间下载下来的。
记一次攻防演练之vcenter后渗透利用

然后再dc中找到自己的存储位置,再去找对应的存储,下载文件:
记一次攻防演练之vcenter后渗透利用

记一次攻防演练之vcenter后渗透利用
vmem文件下载下来:
记一次攻防演练之vcenter后渗透利用
当前下载非常的慢,所以找了一个winxp的试试:
获取信息,然后hashdump
记一次攻防演练之vcenter后渗透利用

记一次攻防演练之vcenter后渗透利用

4.2 克隆虚拟机法

在这里发现dc机器上锁屏了,而且是winserver2016的机器,那就试试克隆之后,使用cd引导来破除密码啥的,意思就是你电脑关机了,再开机的时候,先把usb或者cd启动,把密码抹掉,类似于我们使用的大白菜装机大师。

4.2.1 kon-boot文件上传

先看下dc机器的位置,把你做好的大白菜u盘(类比的说法而已)传上去,在这里传的是kon-bootiso文件。
记一次攻防演练之vcenter后渗透利用

可以从网上下载老版本的:

链接:https://pan.baidu.com/s/14_OP_nePf-HUlkZxzwXkXw 
提取码:k32k

记一次攻防演练之vcenter后渗透利用

思路是:
KON-BOOTiso镜像(非常的小)上传到vcenter的某一个磁盘中,克隆虚拟机,将克隆的CD/DVD处镜像更换成KON-BOOTiso文件,再启动。
记一次攻防演练之vcenter后渗透利用

在这里选择上传,当前上传的话,有几个说法,一个是需要下载安装vcenter的证书才能上传,否则无权限;另外一个说法是直接上传,如果失败的话,多上传几次。。。
在这里我没安装证书,而是直接上传的,一次就上去了(可能是因为文件很小)

记一次攻防演练之vcenter后渗透利用

4.2.2 克隆虚拟机

在这里选择克隆到虚拟机:
记一次攻防演练之vcenter后渗透利用

起个名字,然后放在下面,下一步:

记一次攻防演练之vcenter后渗透利用
随便放,下一步:

记一次攻防演练之vcenter后渗透利用

选择存储桶,在这选择刚上传iso文件的镜像,也是dc机器的硬盘,这样拷贝啥的快:

记一次攻防演练之vcenter后渗透利用
在这里选择克隆选项:
记一次攻防演练之vcenter后渗透利用
把网卡都取消:
记一次攻防演练之vcenter后渗透利用

记一次攻防演练之vcenter后渗透利用

此时就差不多了:

记一次攻防演练之vcenter后渗透利用
点击finish之后,克隆需要等待一会,因为要复制文件啥的,大概从1分钟到数分钟不等(取决于是什么盘,不知道为啥变成了2012的)
记一次攻防演练之vcenter后渗透利用

4.2.3 开启机器

在开启之前,编辑设置,对vm虚拟机设置:
记一次攻防演练之vcenter后渗透利用
添加虚拟机设置,我的没有cd驱动器选项,所以需要添加,如果你有的话,你就不需要添加:(不清楚刚刚的操作出了啥问题,反正检查下,保险点)

记一次攻防演练之vcenter后渗透利用

记一次攻防演练之vcenter后渗透利用
开机就会进入bios界面,选择cd优先启动之后,再使用 F10 保存。
开机之后,选择启动web控制台:
记一次攻防演练之vcenter后渗透利用

启动之后,在bios界面,使用+-符号来移动顺序,mac上只能用-来移动,将cd作为第一个,然后f10保存即可。
记一次攻防演练之vcenter后渗透利用

记一次攻防演练之vcenter后渗透利用

启动之后会有界面:
记一次攻防演练之vcenter后渗透利用

到这个界面之后,5下shift进入,也有空密码(相当于置空密码了)可以进入,但是这个估计不太行(win10以上的机器应该都不行)。
记一次攻防演练之vcenter后渗透利用
5次shift之后:
记一次攻防演练之vcenter后渗透利用
新建用户,然后登录:
记一次攻防演练之vcenter后渗透利用

目前是进去了,但是没法获取到里面其他用户的信息,所以需要重启挂载iso文件,读取hash
记一次攻防演练之vcenter后渗透利用

4.2.4 制作iso文件

刚刚挂载是为了进去,但是奈何win10以上的用户,没法置空密码进去,所以只能新建用户进去,但是无法获取原来的账密信息,所以需要挂载新的iso进去,在这里使用UltralISO制作iso启动盘:
参考方法:

https://blog.csdn.net/bcbobo21cn/article/details/116347346

因为很简单,就不截图了。
将原来的环境关机,替换iso文件:
记一次攻防演练之vcenter后渗透利用

配置之后,重启设备:
记一次攻防演练之vcenter后渗透利用

打开之后,就抓到了密码:
记一次攻防演练之vcenter后渗透利用

5. dc机器抓hash

在克隆机器登录dc机器之后,只能获取到一个system权限的shell,幸好里面使用的是Windows defender,如果用其他杀软的话,加用户都比较困难,在这里讨论下抓原机器hash的方法。

5.1 上线c2

在这里获取到一个systemshell之后,需要给该克隆的机器分配一个网络,如果可以的话,使用certutil或者是ps指令上线c2,再抓原来的密码,这个我没有试过,理论可行。
当然,也可以用certutil直接下载mimikatz来抓取hash(可能需要免杀)

5.2 抓注册表

这个方法是比较合理的,在4.2.4中只抓了当前用户的hash,无法抓取其他用户的hash,所以可以使用注册表方法抓取。

5.2.1 本地Windows10实验

为了验证可行性,在这里以本地Windows10环境为基础(后期补充的),操作看下,以下操作在本地:
目的是尝试抓取**admin**用户的**hash**
新建账号之后,使用新账号登录:
记一次攻防演练之vcenter后渗透利用

当前使用test用户登录,只能抓到登录账号的账密hash
记一次攻防演练之vcenter后渗透利用
但是如果对注册表操作的话,在这里对注册表操作:

reg save HKLM\SYSTEM system.hiv

reg save HKLM\SAM sam.hiv

reg save hklm\security security.hiv


在本地使用mimikatz执行:
mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

记一次攻防演练之vcenter后渗透利用

抓到了admin用户的hash,这就证实了对注册表操作是可以抓到原来用户的账密hash的。

5.2.2 注册表抓取

记一次攻防演练之vcenter后渗透利用

此时抓到了:
记一次攻防演练之vcenter后渗透利用

6. 总结

当前以confluenceweb漏洞,再到linux提权,再到vcenter的漏洞,再到机器的克隆和hash获取等,整个流程非常的漫长,而且磕磕绊绊的地方非常多,当然还有很多没有解决的问题:

  • 比如vcenter为啥没有添加上用户
  • 注册表抓hash为啥没有抓到当前登录用户
  • linux系统如何抓关键信息等等。。。

后续再慢慢学习吧,东西太多了。文章来源地址https://www.toymoban.com/news/detail-485630.html

到了这里,关于记一次攻防演练之vcenter后渗透利用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 实战攻防演练--利用微软自带Certutil命令ByPassAV上传C2

    Certutil.exe是Windows操作系统中的合法程序,主要用于管理证书相关操作。它提供了转储和显示证书颁发机构(CA)的配置信息、配置证书服务、备份和还原CA组件,以及验证证书、密钥对和证书链等功能,然而,由于其功能强大,很多攻击者滥用Certutil.exe程序将其用于攻击辅助

    2024年02月08日
    浏览(39)
  • 记一次靶场搭建与渗透测试

    通过Windows7打入工作组环境,穿透两层内网拿到DC(域控制器)权限 环境搭建 网络拓扑 虚拟机网络配置 永恒之蓝外网打点 nmap -sS 192.168.2.0/24扫描外网存活主机,发现两台主机192.168.2.128和192.168.2.129,并且445端口都是打开的,可能存在永恒之蓝漏洞 用msf来进行永恒之蓝漏洞的

    2024年01月23日
    浏览(43)
  • 记一次某edu单位的渗透

    第一步当然是从信息收集开始,因为通常主域名基本不会含有高危漏洞。可以通过子域名-子域名端口扫描的方式去进行一个信息收集用来提高攻击面。这里是用fofa进行攻击面的扩大。(如果fofa脆弱系统较少可以自己爆破子域名+端口1-65535扫描的方式去进行渗透测试)。 然后

    2024年03月09日
    浏览(44)
  • 【网络安全】记一次网站站点渗透

    前言 遇到一个站,后端是 Node.js 写的,对于这种类型的站点,一般比较难 getshell,但也实现了最终的目标,拿到后台权限 信息搜集 先进行常规的信息搜集,子域名扫描、端口扫描、目录扫描等 这个站后端脚本语言是 Node.js 目录探测发现 404 界面也极像 Node.js 的 404 页面,后

    2024年02月11日
    浏览(50)
  • 记一次奇妙的某个edu渗透测试

    对登录方法的轻视造成一系列的漏洞出现,对接口确实鉴权造成大量的信息泄露。从小程序到web端网址的奇妙的测试就此开始。(文章厚码,请见谅) 1. 寻找到目标站点的小程序 进入登录发现只需要姓名加学工号就能成功登录,通过googlehack的语法成功找到学生姓名和学号,

    2024年04月16日
    浏览(64)
  • 记一次网络安全渗透测试实战指南

    网址已无法访问,就不贴了 可以使用Fofa,火线,zoomeye,searchcode.com等爬取相关的资产,重点关注一些有漏洞暴露的框架和服务例如:泛微,PHP,Tomca,后台,weblogic等等。之后就主要分三步: 指纹识别、漏洞验证、漏洞复现。 指纹识别很好理解,我们要拿历史漏洞怼它,首

    2024年02月08日
    浏览(57)
  • 【网络安全】记一次杀猪盘渗透实战

    看起来非常假的网站,这个网站是没有 cdn 的用的是 thinkphpk 框架搭建的。 先打一波 poc 没有效果 访问一下后台直接在 url 后面加/admin。 一个开源的 cms 还没有验证码尝试用 burp 进行爆破,首先在火狐上设置代理 ip 为 127.0.0.1 代理端口为 8081。 Burp 上也要设置端口为 8081,将 In

    2024年02月03日
    浏览(50)
  • 记一次SSRF漏洞的学习和利用

    导语:本文主要记录一次我们在复盘嘶吼网站渗透报告时遇到的一个SSRF漏洞。 本文主要记录一次我们在复盘嘶吼网站渗透报告时遇到的一个SSRF漏洞。此漏洞并结合腾讯云的API接口,可以获取大量嘶吼服务器的敏感信息。利用这些敏感信息,又可以进行更为深入的渗透。 这篇

    2024年02月06日
    浏览(60)
  • 记一次weblogic-10.3.6.0靶场漏洞利用

    进入Vuln-Range的weblogic-10.3.6.0靶场 靶场地址后面加上 /console 进入后台页面 使用weblogic漏洞利用工具进行扫描 删掉端口后面多余字符,输入/uddiexplorer/ 右上角图片新标签页打开 复制图片文件名 到weblogic中查找 输入 find ./ -name oracle_logo.gif(文件名) 找到的路径用记事本保存一下 在

    2023年04月18日
    浏览(42)
  • 网络安全攻防演练项目介绍

    有很多朋友问我写的攻防演练是什么? 本文给予回答 网络安全攻防演练是公安部组织的面向税务、电力、电信、银行、铁路、财政、广电、水利、教育、互联网、检察院、法院、石油、交通等行业的政府单位/公司,开展的实战攻防演练,也简称为护网。 攻防演练主要目标是

    2024年02月09日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包