Пробиваем VMware v. Center / Блог компании Digital Security / Хабрахабр. Безопасность виртуальных системы – сейчас модный тренд, поэтому обойти стороной этот вопрос нельзя. Сегодня мы будем ломать самое сердце инфраструктуры VMware – сервер v. Center. При этом использовать будем 0- day уязвимости, чтобы жизнь медом не казалась. Ломать будем олдскульными методами, никак не связанными с виртуальными технологиями: тренд, конечно, модный, а вот баги все такие же банальные. PS: Как водится у ответственных уайт- хатов, все описанные тут баги должны быть уже закрыты, были они 0- деями на момент взлома, то есть в 2. VMware Workstation — популярная программа для создания нескольких виртуальных компьютеров в одной системе. Скачать бесплатно VMware Workstation 10.0.6 + keygen + русификатор -VmWare ESXi Когда регался на их сайте - дали какой-то ключ куда его. 0 сервисная консоль - rhel5.2. Получение бесплатной вечной лицензии VMware ESXi и пугает тем, что эта триалка будет действовать только 60 дней, а потом все выключится. Установка Vmware ESXi 6.0 на сервер HP DL 160 G6 На сайте vmware нам надо получить: образ гипервизора и лицензионный ключ. Выполните обновление до VMware vSphere 6.0 и используйте будут размещены в той же папке, где находится исходный лицензионный ключ. Изучаем VMWare - Бесплатный ключ ESXi, активация ESXi. Добавлен и обновлен keygen. Последний vRealize Operations Manager на ура хавает ключики из кейгена от VMware vSphere with Operations Management осталось найти ключик для vCenter, и можно жить =). Давно мы не публиковали таблицу сравнения изданий VMware vSphere, а ведь в версии vSphere 6.0 много что изменилось, поэтому иногда полезно взглянуть на таблицу ниже. Данный текст был опубликован в журнале Хакер . Это удобнее, это круче! Лидером в области обеспечения этих самых сред является небезызвестная компания VMware. Эти ребята имеют крутой гипервизор и, что также немаловажно, кучу всякого ПО для удобного развертывания, управления и контроля. Все это делает решения от VMware гибкими, масштабируемыми и, в конечном счете, эффективными. Для удобного администрирования всей этой крутотенюшки ребята разработали серверное ПО, в котором консолидируется вся административная часть инфраструктуры – VMware v. Center. То есть имеется у вас, к примеру, 1. VMware ESX(i). На них в общей сложности у вас бегает 5. Админить этот виртуальный зоопарк достаточно неудобно, если у вас нет этого самого v. Center’а. Кроме того, благодаря v. Center возможны разного рода хитрости, вроде прозрачной миграции виртуальных образов в случае отказа одного из ESX работать и т. Короче, мегаудобная и важная штука. На этом реклама закончена. Основная суть в том, что если злой хак. Ир поломает ваш v. Center – вся сеть в его мерзких руках. Прорываем оборону. Известный исследователь Клаудио Крисконе не раз сталкивался с этим «центром», а потому знает, как его ломать. Вот и я на одном из пен- тестов столкнулся с данным ПО и решил воспользоваться мудростью Клаудио, чтобы запывнить там все. Собственно, идея Клаудио была проста: наш друг нашел уязвимость в менеджере обновлений v. Center’а. Уязвимость была даже не по вине программистов VMware. Дело в том, что веб- интерфейс этого менеджера (висит на TCP- порте 9. Jetty. Поэтому Клаудио нашел уязвимость именно там. Уязвимость – классика жанра: выход за границы каталога: target: 9. FILE. EXTСлайд Клаудио с конференции Блэк. Хат ; -)Все просто: читаем любые файлы, на которые у учетной записи, из- под которой запущен v. Center, хватает прав. Но вот вопрос, который задал Клаудио – как же файл читать- то? В общем, покопался он в файловой системе и нашел чудесный файл журналирования доступа, в котором хранился код сессии (см. Дело в том, что v. Sphere- клиент работает с v. Center по протоколу SOAP, то есть это обычный HTTPS- трафик, в теле которого – XML- структура с данными, командами и т. При этом после аутентификации администратора ему прописывается код SOAP- сессии, и впоследствии этот код проверяется как cookie c PHPSESSIONID, типа аналог 8) Очевидно, что, похитив этот код, мы можем подсунуть его в свой SOAP- запрос, и v. Center будет думать, что мы уже аутентифицировались как некий админ (если сессия еще жива). То есть Клаудио предлагает через уязвимость в веб- сервере Jetty прочитать лог с этими SOAP- кодами. Program. Data\VMware\VMware Virtual. Center\Logs\vpxd- profiler- 6. Затем следует подставлять эти коды в запросы от v. Sphere. Для этого он даже разработал прокси- сервер, который на лету подменяет код сессии в пакетах от v. Sphere, и включил этот прокси в состав своего add- on’а к Metasploit – VASTO. Кроме того, в этом аддоне есть множество других фишек, но сейчас об этом не будем. Таким вот образом наш итальянский друг из компании Google предлагает наказывать v. Center. Но беда была в том, что все эти баги к моменту моего пен- теста (весна- лето 2. ПО, а это значит, что и Jetty был патченым- перепатченным. В одну и ту же воронку снаряд дважды не попадает? Испытывая разочарование (халявы не получилось), я начал думать, что делать. Вообще любой пен- тестер в такой ситуации просто пройдет мимо и напишет в отчете, что на данном ресурсе уязвимостей нет. Но, как обычно, почувствовав возмущения в Силе, я не доверился этим вашим патчам. Что- то заставило меня продолжить издеваться над Jetty, комбинируя варианты эксплойта для выхода за пределы каталога. И через 1. 5 минут я получил результат. Уже в другом месте того же менеджера обновления опять была уязвимость: target: 9. FILE. EXTЭто уже что- то, ведь можно идти читать файл с SOAP- кодами! Попытка найти свое счастье. Можно только отметить отличную работу программистов из VMware, которые подмели логи и сделали нам бяку. Что ж, поищем сами, что еще может быть на файловой системе, что нам пригодится. Тогда с этим ключом мы можем перехватывать SSL- трафик и расшифровывать его (wireshark позволяет делать это без проблем). Сам ключ можно найти так: target: 9. Documents and Settings\All Users\Application Data\VMware\VMware Virtual. Center\SSL\rui. key Соответственно, если мы организуем атаку «человек посередине» с помощью ARP SPOOFING, то мы сможем перехватывать трафик между сервером и административной рабочей станцией. Кстати, IP- адреса администраторов и их логины по- прежнему можно узнать из файла профайлера. Конечно, мы можем подменить SSL- сертификат (cain умеет делать это без проблем) и расшифровать трафик без хищения ключа, но тогда администратор увидит предупреждение о неверном SSL- сертификате. В случае если мы похитили ключ – администратор ничего не увидит, так как сертификат будет верным. То есть такая атака более хитрая и скрытная. Еще один интерфейс управления, в этот раз самим «Центром». А это не менее крутая штука. Она используется для управления жизненным циклом ЦОД. Это целый фреймворк для разработки и автоматизации различных процессов в виртуальной инфраструктуре. Короче, это круто и все тут. Изучая файловую систему, я наткнулся на следующий файл: target: 9. Program files\VMware\Infrastructure\Orchestrator\configuration\jetty\etc\passwd. Уже кое- что! Вот именно так мы получаем некий MD5- хэш. Очевидно, что там запрятан пароль от административной учетной записи в этот самый «Оркестратор». Что тут можно сказать? Использование MD5 без соли – это не секурно. Вот и в данном контексте мы очень быстро получили пароль (на скриншоте захешированный пароль по умолчанию, кстати, так что администраторы тоже могут быть причиной проблем). Используя полученный пароль, мы вошли в систему через веб- интерфейс. Удобно, мило, симпатичный дизайн, но нам нужно больше. Поковырявшись в веб- интерфейсе, мы заметили, что для управления виртуальной инфраструктурой используется тот же v. Center Server, а значит, «Оркестратор» должен уметь аутентифицироваться там. И он умеет, ведь где- то в настройках задается пароль доступа. Настройки доступа к v. Center. Раскрыв HTML- код, я был счастлив: пароль там отображается в открытом виде, как есть, хотя визуально, в браузере, прячется за «звездочками». Админская учетка от v. Center наша! Кроме того, там пароли от почтового аккаунта, от доменных учетных записей и от прочих вещей, которыми «Оркестратор» должен уметь пользоваться. Прямо менеджер паролей для хакера! Понятно, что вся система была успешно взломана, причем не только виртуальная, но и контроллер домена, а значит, все, что там было. Moarrrrrr! Казалось бы, все, но есть еще одна деталь. Как вы обратили внимание, «Оркестратор» где- то хранит пароли. Причем так, чтобы их можно было получить в чистом виде и использовать. Это нам говорит о том, что можно было не ломать MD5- хэш, а поискать, где лежат эти паролики. Покопавшись немного, я таки их нашел: так, например, хранится пароль от доступа v. Center: target: 9. Program Files\VMware\Infrastructure\Orchestrator\app- server\server\vmo\conf\plugins\VC. Причем, судя по формату закодированной строки, это шифрование обратимо. Даже похожие пароли выглядят в зашифрованном виде очень похоже.< ? Тут закодирован пароль от СУБД, таким же методом. Осталось разобрать суть метода кодирования и понять, верна наша догадка или нет. Тут в дело вступает мой друг и коллега, а по совместительству еще и игрок CTF- команды Leet. More – Александр jug Миноженко. Для него такие задачки – как два пальца. Саша просто декомпилировал Java- класс «Оркестратора», отвечающего за сохранение пароля, и разобрал алгоритм кодирования. Суть проста: берем длину пароля, затем кодируем в хекс каждый байт пароля, добавляя к нему номер позиции байта (начиная с нулевого). Таким образом, кодированное значение “Password. Саша написал декодер (на Руби): #Закодированная строка. И опять получаем полный доступ к v. Center. Что можно сказать еще? Если бы администраторы фильтровали доступ с помощью фаервола, ограничив доступ к административным портам, провести атаку было бы намного сложнее. Многое осталось за кадром, ведь защита виртуальной инфраструктуры – дело не одной минуты и не одного сервера. Могу всем посоветовать VMware Hardening Guide (http: //www. VMW- TWP- v. SPHR- SECRTY- HRDNG- USLET- 1. WEB- 1. pdf). В этой PDF’ке указаны многие места, на которые стоит обратить внимание. На этом все, не болейте!
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
December 2016
Categories |