CVE-2021-21972 vCenter CVE-2021-21972的概念证明利用 研究来源: : : 已在Windows和Unix vCenter VCSA目标上进行了测试。 用法 要良性地检查目标是否易受攻击,只需提供--target参数即可。 要利用此漏洞,请提供--file,-path和--operating-system标志。 将--file参数中提供的文件写入--path参数中指定的位置。 Windows目标: 通过将Webshel​​l cmdjsp.jsp上传到PtSwarm指示的/ statsreport端点进行了测试。 该Webshel​​l在NT AUTHORITY / SYSTEM的上下文中执行命令。 Unix目标: 该文件将在vsphere-ui用户的上下文中写入。 如果目标易受攻击,但利用失败,则可能是vsphere-ui用户没有写指定路径