CVE-2021-21975/21983 VMware SSRF、任意文件上傳漏洞分析

Andrew2021-04-16 11:00:04

VMware vRealize Operations 可在由 AI 提供支持的統一平臺中針對私有云、混合云和多云環境提供自動配置 IT 運維管理套件。

本次安全更新修復了一處服務端請求偽造漏洞，一處任意文件上傳漏洞。未經身份驗證的攻擊者通過訪問特定的api傳入惡意數據，最終在目標服務器上觸發漏洞。

位于casa/WEB-INF/classes/com/vmware/ops/casa/api/ClusterDefinitionController.class有一個路由/nodes/thumbprints

這里接收POST傳入的值作為address傳入getNodesThumbprints方法，跟進ClusterDefinitionService#getNodesThumbprints

這里實例化了一個HttpMapFunction類并調用了execute方法，可以看到返回的結果保存在response中，后面就是對返回結果的處理，從變量名和后面操作的行為就可以猜測execute方法里面就是發出請求也就是造成ssrf的地方，跟進看一看

這里的hosts也就是我們傳入的address轉為數組的形式，接著將hosts賦值給var4，然后進入for循環遍歷host通過HttpTask.createInstance創建任務實例，跟進HttpTask#createInstance

這里的op從實例化HttpMapFunction那兒可以知道值為RequestMethod.GET，所以這里返回了一個發送GET請求的任務HttpGetTask，回到execute方法中，將得到的任務task放入tasks中，最后通過invokeAll開始多線程執行。

注意這里Content-Type要為application/json

位于casa/classes/com/vmware/vcops/casa/appconfig/CertificateController.class有一個路由

這里接收了兩個post參數name和file，然后跟進CertificateService#handleCertificateFile

這里創建了一個File對象，然后直接使用transferTo函數上傳文件，兩個參數都是可控的所以就造成了任意文件上傳漏洞。

思路是ssrf獲取Authorization然后配合文件上傳漏洞getshell。

復現ssrf的時候已經接收到了Authorization(8.3之前的版本會有，不包括8.3)，然后就利用文件上傳漏洞寫webshell。

VMSA-2021-0004

報告編號：B6-2021-041303

報告來源：360CERT

報告作者：ghtwf01

更新日期：2021-04-13
原創： 360CERT
原文鏈接：https://mp.weixin.qq.com/s/JpkpBR4JJt21ocu...

文件上傳ssrf

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接