CVE-2022-29457 Zoho ManageEngine ADSelfService远程命令执行漏洞
2023-9-26 20:10:0 Author: mp.weixin.qq.com(查看原文) 阅读量:19 收藏

★且听安全-点关注,不迷路!

★漏洞空间站-优质漏洞资源和小伙伴聚集地!

Zoho 系列漏洞集合

https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg3MTU0MjkwNw==&action=getalbum&album_id=2123933817441665027&scene=173&from_msgid=2247489341&from_itemidx=1&count=3&nolastread=1#wechat_redirect
漏洞信息

Zoho ManageEngine ADSelfService 6118 以前版本存在认证后目录穿越问题,可导致远程命令执行。

环境搭建

首先部署 Windows AD,然后安装 6118 版本软件,登录浏览器后软件会自动识别域:

安装结束后需要设置好邮件服务器:

漏洞分析

登录系统,存在一个 `schedule reports` 定期报告按钮:

点击 `Schedule New Reports` 添加定期报告:

将 `Storage Path` 设置为 `c:\testdata`:

使用 burpsuite 截取报文,将 `STORAGE_PATH` 修改为 `/../../../testreport`:

等待一段时间后, `C:\testreport` 目录被创建:

设置 `storage_path` 位置存在检查,但是为前段校验:

后端没有对存储路径进行认证:

利用方法

由于是个路径穿越问题,而且可以指定完全目录,可以通过填入共享文件夹进行NTLM攻击。将 `storage_path` 设置为共享文件夹。使用 `impacket` 服务获取域控 hash ,还可以尝试内网中继攻击。有兴趣获取完整漏洞分析与复现过程的小伙伴,请加入我们的漏洞空间站-致力于打造优质漏洞资源和小伙伴聚集地!

修复方式

新版本在 `saveReportScheduler` 中添加了 `isUNCFilePath` 校验:

路径不能以 `\\` 开头:

由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,且听安全及文章作者不为此承担任何责任。

★且听安全-点关注,不迷路!

★漏洞空间站-优质漏洞资源和小伙伴聚集地!


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg3MTU0MjkwNw==&mid=2247491482&idx=1&sn=8523b61d64a9895fbe93ecb5b90f1784&chksm=cefda68ef98a2f984321b9869485ba856177ee91b41def058be3ab3f053b40169c09e99cfb3c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh