后渗透攻击中的高级手法：利用SAML证书登录vCenter

vSphere是由VMware推出的一套虚拟化平台套件，主要包含ESXi和vCenter等多个软件组件。vCenter作为ESXi的控制中心，提供了统一管理数据中心所有vSphere主机和虚拟机的功能，为运维人员提供了更高效的控制能力。然而，这也使得潜在的攻击者可以更迅速地获取权限。

自vSphere5开始，引入了单点登录系统，并采用了SAML作为授权服务的支持。用户登录服务时，该服务将身份验证请求传递给SAML，SAML验证用户凭据是否正确以及是否具有访问指定服务的权限。

在下面的模拟环境中，我们将利用CVE-2021-22005漏洞获取权限，然后下载data.mdb文件。

Linux系统下，data.mdb文件位于：/storage/db/vmware-vmdir/data.mdb；而在Windows系统下，其位置为：C:\ProgramData\VMware\vCenterServer\data\vmdird\data.mdb。

我们将使用更快捷的脚本从data.mdb文件的目录服务信息中提取LDP证书，并通过登录vCenter实现进一步的操作。

在使用脚本之前，请确保Python能够与目标vCenter通信。

您可以在以下链接找到相关的Python脚本：vcenter_saml_login。

执行脚本的命令如下：

python3 vcenter_saml_login.py –p data.mdb -t 192.168.0.92

执行成功后，您将获取到Cookie，随后可以添加Cookie并访问https://192.168.xx.xx/ui进行进一步操作。