1. 說明

很早之前的一次攻防演練，主要是從web漏洞入手，逐漸學習vcenter后利用技術。過程由于太長，很多細節都省略了，中間踩坑、磕磕絆絆的地方太多了。。。
由于敏感性，很多地方都是打碼或者是沒有圖，按照回憶整理的，見諒！

1. confluence漏洞

根據打點的記錄，找到了一個confluence的界面：

1.1 反彈shell

經過驗證，存在cve-2022-26134漏洞，直接利用漏洞反彈shell到vps：

經過分析，當前為實體機，但是權限較低，這也正常，大部分都是這個權限。

1.2 提權

先進行信息搜集，看下內核版本之類的：

看到了當前為centos，嘗試使用cve-2021-4034進行提權，將文件傳到機器上之后，再進行編譯，然后執行：

此時順利獲取到了root權限。
在此期間，發現機器中還有的門羅幣的一些操作：

因為當前機器僅支持密鑰登錄，在密鑰中看到了明顯的入侵痕跡。所以就不進行登陸了。
至此，入口機的操作到此結束。

2. 內網掃描

在入口機上發現了一共有兩個有效子網ip，對其分別進行了掃描，發現如下：

對192.168.122.1/24掃描，只發現了一個ip，也就是當前正在使用的ip地址，雖然發現了一些其他的漏洞，但是參考意義不大：

對10.110.11.1/24段進行掃描的時候，發現了一些有用的漏洞，其中包含vcenter的，由于內容太多，在這里分享一部分：

[+] NetInfo: [*]10.110.11.10[->]a1-dc[->]10.110.11.10 [+] https://10.110.11.30 poc-yaml-vmware-vcenter-unauthorized-rce-cve-2021-21972

在這里發現了一臺dc（自己標注的主機名）和一個cve-2021-21972漏洞的機器，那下面就轉戰vcenter了。畢竟vcenter被稱為小域控。
當然，在這里還需要搭建隧道等，我在這里就對此省略不提了。

3. vcenter漏洞

對于這種vcenter漏洞和后滲透來說，先拿到shell，提權到root，進后臺，操作機器。
一般進后臺有三種方法：

找到mdb文件，生成證書文件，再生成cookie，進后臺。

root權限添加新用戶。

重置管理員密碼，使用新賬密進入后臺。

3.1 版本探測

首先是版本探測：

當前版本是6.7.2，雖然掃出來的是21972漏洞，但是很多時候這種機器有概率存在cve-2021-22005漏洞，之所以嘗試22005，主要是21972獲得的權限不是root的，到時候還需要提權，很麻煩。

2.2 getshell

在這里使用的是cve-2021-22005，掛上代理之后，先上傳作者的木馬上去，直接一把梭：

這樣的好處是作者的木馬是網頁版的命令執行，有些時候會顯示似乎是已經上傳成功了，但是驗證的時候沒有回顯，以前遇到過好多次都是誤報。

證明確實存在22005這個漏洞，那就上傳自己的馬兒上去：

在這里上傳的是蟻劍的，因為在這里最初嘗試過哥斯拉的，發現上傳了無法連接，最后蟻劍是忽略了https證書才能連接：

當前權限是root。
理論上接下來就是獲取cookie到后臺，再操作機器。。。。。
整個流程看起來非常的流暢。但是坑的點隨之而來~

3.3 獲取cookie（失敗）

以下的操作可以參考這個鏈接，我都是在這個鏈接和s老板的基礎上學習到的：
https://daidaitiehanhan.github.io/2022/04/18/vCenter2021%E5%87%A0%E4%B8%AA%E6%BC%8F%E6%B4%9E%E5%8F%8A%E5%90%8E%E6%B8%97%E9%80%8F/#%E6%8F%90%E6%9D%83
不懂的，可以先看這個。
流程就是：在這里獲取cookie之后，然后直接登錄vcenter的網頁版后臺（想著都很美）
一般來說，對mdb數據操作，有兩種方法：

• 一個是在vcenter機器上用腳本獲取
• 第二種是下載到本地用腳本獲取。

3.3.1 本地執行腳本

找到mdb數據，然后解密：

/storage/db/vmware-vmdir/data.mdb

在執行的時候，在蟻劍上使用命令行執行會特別慢，只能獲取到一個文件，因為當前vcenter的機器出網，所以直接反向彈到vps上，用root權限的交互式命令行來執行，同樣的問題，執行反饋特別慢，而且執行會出現一些莫名其妙的錯誤：

直接告訴我證書為空，我尼瑪。。。
最后發現，可能的原因是mdb文件太大了，文件1個G還要多，沒法搞（只是懷疑），一般攻防里面這種文件大概不超過100M。

3.3.2 本地執行

掛隧道，用小水管，把文件慢慢慢慢慢慢慢下載到本地來，再試試本地：

直接g，看來這種方法肯定是不行了。

3.4 添加用戶（失敗）

按照大佬的方法，此時來添加新用戶到vcenter后臺，用戶添加腳本：
https://github.com/3gstudent/Homework-of-Python/blob/master/vCenterLDAP_Manage.py

看似很輕松的操作，我開始按照提示先添加賬號，再添加到管理組：

在添加到管理組的時候，和別的師傅不一定的點就是在這里發生了報錯：

果然，登錄的時候直接g。。。

3.5 重置密碼（成功）

沒有辦法了，來重置密碼吧，雖然還有其他的路子（菜）
充值秘密會修改管理員的密碼，所以這個操作需要謹慎
首先查詢域名，再在shell中執行重置密碼的功能：
查詢域名：

/usr/lib/vmware-vmafd/bin/vmafd-cli get-domain-name --server-name localhost

重置密碼，在shell中執行：

/usr/lib/vmware-vmdir/bin/vdcadmintool

選擇3，輸入用戶名：Administrator@xxxxx，然后回車即可：

終于，進入后臺了，一共99臺機器，其中那個dc機器也在里面：

到這就結束了嗎？更大的困難還在后面。。。
眼看dc機器在里面，那就想辦法登錄上去，由于dc機器正在運行，且鎖屏，所以就有了下文去想辦法獲取dc機器的hash。

4. dc機器hash獲取

在這里獲取hash有兩個大方向：

• 做快照，下載快照，用Volatility來取證獲取hash（適合流量無線和下載比較快的）
• 做克隆，cd盤啟動，抓hash

4.1 打快照下載法

這種適合網速不錯、能短時間下載下來的。

然后再dc中找到自己的存儲位置，再去找對應的存儲，下載文件：

將vmem文件下載下來：

當前下載非常的慢，所以找了一個winxp的試試：
獲取信息，然后hashdump：

淦

4.2 克隆虛擬機法

在這里發現dc機器上鎖屏了，而且是winserver2016的機器，那就試試克隆之后，使用cd引導來破除密碼啥的，意思就是你電腦關機了，再開機的時候，先把usb或者cd啟動，把密碼抹掉，類似于我們使用的大白菜裝機大師。

4.2.1 kon-boot文件上傳

先看下dc機器的位置，把你做好的大白菜u盤（類比的說法而已）傳上去，在這里傳的是kon-boot的iso文件。

可以從網上下載老版本的：

鏈接：https://pan.baidu.com/s/14_OP_nePf-HUlkZxzwXkXw 提取碼：k32k

思路是：
將KON-BOOT的iso鏡像（非常的小）上傳到vcenter的某一個磁盤中，克隆虛擬機，將克隆的CD/DVD處鏡像更換成KON-BOOT的iso文件，再啟動。

在這里選擇上傳，當前上傳的話，有幾個說法，一個是需要下載安裝vcenter的證書才能上傳，否則無權限；另外一個說法是直接上傳，如果失敗的話，多上傳幾次。。。
在這里我沒安裝證書，而是直接上傳的，一次就上去了（可能是因為文件很小）

4.2.2 克隆虛擬機

在這里選擇克隆到虛擬機：

起個名字，然后放在下面，下一步：

隨便放，下一步：

選擇存儲桶，在這選擇剛上傳iso文件的鏡像，也是dc機器的硬盤，這樣拷貝啥的快：

在這里選擇克隆選項：

把網卡都取消：

此時就差不多了：

點擊finish之后，克隆需要等待一會，因為要復制文件啥的，大概從1分鐘到數分鐘不等（取決于是什么盤，不知道為啥變成了2012的）

4.2.3 開啟機器

在開啟之前，編輯設置，對vm虛擬機設置：

添加虛擬機設置，我的沒有cd驅動器選項，所以需要添加，如果你有的話，你就不需要添加：（不清楚剛剛的操作出了啥問題，反正檢查下，保險點）

開機就會進入bios界面，選擇cd優先啟動之后，再使用 F10 保存。
開機之后，選擇啟動web控制臺：

啟動之后，在bios界面，使用+-符號來移動順序，mac上只能用-來移動，將cd作為第一個，然后f10保存即可。

啟動之后會有界面：

到這個界面之后，5下shift進入，也有空密碼（相當于置空密碼了）可以進入，但是這個估計不太行（win10以上的機器應該都不行）。

5次shift之后：

新建用戶，然后登錄：

目前是進去了，但是沒法獲取到里面其他用戶的信息，所以需要重啟掛載iso文件，讀取hash：

4.2.4 制作iso文件

剛剛掛載是為了進去，但是奈何win10以上的用戶，沒法置空密碼進去，所以只能新建用戶進去，但是無法獲取原來的賬密信息，所以需要掛載新的iso進去，在這里使用UltralISO制作iso啟動盤：
參考方法：

https://blog.csdn.net/bcbobo21cn/article/details/116347346

因為很簡單，就不截圖了。
將原來的環境關機，替換iso文件：

配置之后，重啟設備：

打開之后，就抓到了密碼：

5. dc機器抓hash

在克隆機器登錄dc機器之后，只能獲取到一個system權限的shell，幸好里面使用的是Windows defender，如果用其他殺軟的話，加用戶都比較困難，在這里討論下抓原機器hash的方法。

5.1 上線c2

在這里獲取到一個system的shell之后，需要給該克隆的機器分配一個網絡，如果可以的話，使用certutil或者是ps指令上線c2，再抓原來的密碼，這個我沒有試過，理論可行。
當然，也可以用certutil直接下載mimikatz來抓取hash（可能需要免殺）

5.2 抓注冊表

這個方法是比較合理的，在4.2.4中只抓了當前用戶的hash，無法抓取其他用戶的hash，所以可以使用注冊表方法抓取。

5.2.1 本地Windows10實驗

為了驗證可行性，在這里以本地Windows10環境為基礎（后期補充的），操作看下，以下操作在本地：
目的是嘗試抓取**admin**用戶的**hash**
新建賬號之后，使用新賬號登錄:

當前使用test用戶登錄，只能抓到登錄賬號的賬密hash：

但是如果對注冊表操作的話，在這里對注冊表操作：

reg save HKLM\SYSTEM system.hivreg save HKLM\SAM sam.hivreg save hklm\security security.hiv在本地使用mimikatz執行： mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

抓到了admin用戶的hash，這就證實了對注冊表操作是可以抓到原來用戶的賬密hash的。

5.2.2 注冊表抓取

此時抓到了：

6. 總結

當前以confluence的web漏洞，再到linux提權，再到vcenter的漏洞，再到機器的克隆和hash獲取等，整個流程非常的漫長，而且磕磕絆絆的地方非常多，當然還有很多沒有解決的問題：

• 比如vcenter為啥沒有添加上用戶
• 注冊表抓hash為啥沒有抓到當前登錄用戶
• linux系統如何抓關鍵信息等等。。。

后續再慢慢學習吧，東西太多了。

總結

以上是生活随笔為你收集整理的记一次攻防演练之vcenter后渗透利用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。