导语:本文以CVE-2023-27532为例,介绍Veeam Backup & Replication漏洞调试环境的搭建方法。
0x00 前言
本文以CVE-2023-27532为例,介绍Veeam Backup & Replication漏洞调试环境的搭建方法。
0x01 简介
本文将要介绍以下内容:
环境搭建
调试环境搭建
数据库凭据提取
CVE-2023-27532简要分析
0x02 环境搭建
1.软件安装
安装文档:https://helpcenter.veeam.com/archive/backup/110/vsphere/install_vbr.html
软件下载地址:https://www.veeam.com/download-version.html
License申请地址:https://www.veeam.com/smb-vmware-hyper-v-essentials-download.html
下载得到iso文件,安装时需要使用邮箱获得的License文件
2.默认目录
安装目录:C:\Program Files\Veeam\
日志路径:C:\ProgramData\Veeam\Backup
3.默认端口
Veeam.Backup.Service ports: 9392,9401(SSL)
Veeam.Backup.ConfigurationService port: 9380
Veeam.Backup.CatalogDataService port: 9393
Veeam.Backup.EnterpriseService port:9394
Web UI ports: 9080,9443(SSL)
RESTful API ports: 9399,9398(SSL)
0x03 调试环境搭建
1.定位进程
执行命令:netstat -ano |findstr 9401
返回结果:
定位到进程pid为7132,进程名称为Veeam.Backup.Service.exe
使用dnSpy Attach到进程Veeam.Backup.Service.exe
2.调试设置
为了在Debug过程中能够查看变量内容,需要创建以下文件:
C:\Program Files\Veeam\Backup and Replication\Backup\Veeam.Backup.Service.ini
C:\Program Files\Veeam\Backup and Replication\Backup\Veeam.Backup.DBManager.ini
C:\Program Files\Veeam\Backup and Replication\Backup\Veeam.Backup.ServiceLib.ini
C:\Program Files\Veeam\Backup and Replication\Backup\Veeam.Backup.Interaction.MountService.ini
内容为:
0x04 数据库凭据提取
1.获得数据库连接配置
(1)获得数据库连接端口
打开SQL Server 2016 Configuration Manager,选择SQL Server Services,可以看到SQL Server(VEEAMSQL2016)对应的Process ID为1756,如下图
查看进程对应的端口:netstat -ano|findstr 1756
返回结果:
得到连接端口49720
(2)获得数据库名称
方法1:
进入Configuration Database Connection Settings,在页面中可以看到Database name为VeeamBackup,认证方式为Windows Authentication,如下图
方法2:
读取注册表键值:REG QUERY "HKEY_LOCAL_MACHINE\SOFTWARE\Veeam\Veeam Backup and Replication" /v SqlDatabaseName
2.数据库连接
(1)使用界面程序
这里使用DbSchema
选择SqlServer,配置如下图
成功连接如下图
数据库选择VeeamBackup.dbo,进入数据库页面,全局搜索关键词password,得到相关的查询语句:
执行后获得数据库存储的凭据信息,如下图
(2)使用Powershell
参考资料:https://github.com/sadshade/veeam-creds
veeam-creds在Veeam Backup and Replication 11及更高版本测试时会报错,提示:
这是因为https://github.com/sadshade/veeam-creds/blob/main/Veeam-Get-Creds.ps1#L32处使用了sqloledb,当前系统的sqloledb已经过期
这里可以选择使用MSOLEDBSQL或MSOLEDBSQL19解决
查看当前系统是否安装MSOLEDBSQL或MSOLEDBSQL19的Powershell命令:(New-Object System.Data.OleDb.OleDbEnumerator).GetElements() | select SOURCES_NAME, SOURCES_DESCRIPTION
返回结果示例:
以上结果显示当前系统安装了MSOLEDBSQL19,所以只需要将sqloledb替换为MSOLEDBSQL19即可
补充:安装MSOLEDBSQL或MSOLEDBSQL19的方法
下载地址:https://learn.microsoft.com/en-us/sql/connect/oledb/download-oledb-driver-for-sql-server?source=recommendations&view=sql-server-ver16
命令行安装方法:msiexec /i msoledbsql.msi /qn IACCEPTMSOLEDBSQLLICENSETERMS=YES
安装前需要满足Microsoft Visual C++ Redistributable版本最低为14.34
查看Microsoft Visual C++ Redistributable版本的简单方法:
通过文件夹名称获得:dir /o:-d "C:\ProgramData\Package Cache"
返回结果示例:
从中可以得出Microsoft Visual C++ Redistributable版本为14.29.30037,需要安装更高版本的Microsoft Visual C++ Redistributable,下载地址:https://learn.microsoft.com/en-us/cpp/windows/latest-supported-vc-redist?view=msvc-170
x86和x64均需要安装,veeam-creds运行成功如下图
0x05 CVE-2023-27532简要分析
Y4er公布了调用CredentialsDbScopeGetAllCreds获得明文凭据的POC:https://y4er.com/posts/cve-2023-27532-veeam-backup-replication-leaked-credentials/
1.凭据位置
此处的明文凭据对应的位置为:Veeam Backup & Replication Console->Manage Credentials,默认明文口令为空,如下图
调试断点位置为Veeam.Backup.DBManager.dll->CCredentialsDbScope,如下图
2.数据解析
POC最终的返回结果为序列化之后的xml,将ParamValue作Base64解密后可以看到明文数据,但是格式不对,存在乱码
这里可以调用Veeam自带的dll反序列化数据,得到正确的格式
格式化输出字符串的代码示例:
需要引用dll文件:
Veeam.Backup.Common.dll
Veeam.Backup.Configuration.dll
Veeam.Backup.Interaction.MountService.dll
Veeam.Backup.Logging.dll
Veeam.Backup.Model.dll
Veeam.Backup.Serialization.dll
Veeam.TimeMachine.Tool.dll
编译生成的文件需要在本地安装Veeam的环境下使用,否则报错提示:
程序成功执行的结果示例如下图
0x06 小结
本文以CVE-2023-27532为例,介绍搭建Veeam Backup & Replication漏洞调试环境的相关问题和解决方法。
本文为 3gstudent 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址