★且听安全★-点关注，不迷路！

★漏洞空间站★-优质漏洞资源和小伙伴聚集地！

Zoho 系列漏洞集合

https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg3MTU0MjkwNw==&action=getalbum&album_id=2123933817441665027&scene=173&from_msgid=2247489341&from_itemidx=1&count=3&nolastread=1#wechat_redirect

Zoho ManageEngine ADSelfService 6118 以前版本存在认证后目录穿越问题，可导致远程命令执行。

首先部署 Windows AD，然后安装 6118 版本软件，登录浏览器后软件会自动识别域：

安装结束后需要设置好邮件服务器：

登录系统，存在一个 `schedule reports` 定期报告按钮：

点击 `Schedule New Reports` 添加定期报告：

将 `Storage Path` 设置为 `c:\testdata`：

使用 burpsuite 截取报文，将 `STORAGE_PATH` 修改为 `/../../../testreport`：

等待一段时间后， `C:\testreport` 目录被创建：

设置 `storage_path` 位置存在检查，但是为前段校验：

后端没有对存储路径进行认证：

由于是个路径穿越问题，而且可以指定完全目录，可以通过填入共享文件夹进行NTLM攻击。将 `storage_path` 设置为共享文件夹。使用 `impacket` 服务获取域控 hash ，还可以尝试内网中继攻击。有兴趣获取完整漏洞分析与复现过程的小伙伴，请加入我们的漏洞空间站-致力于打造优质漏洞资源和小伙伴聚集地！

新版本在 `saveReportScheduler` 中添加了 `isUNCFilePath` 校验：

路径不能以 `\\` 开头：

由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用本人负责，且听安全及文章作者不为此承担任何责任。

★且听安全★-点关注，不迷路！

★漏洞空间站★-优质漏洞资源和小伙伴聚集地！