CVE-2022-28219 Zoho 远程命令执行漏洞-组合Java XXE、反序列化和路径穿越漏洞实现匿名RCE
2022-7-10 23:15:22 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

★且听安全-点关注,不迷路!

★漏洞空间站-优质漏洞资源和小伙伴聚集地!

漏洞信息

Zoho ManageEngine ADAudit Plus v7060 以前版本存在认证前 XXE 、JAVA 反序列化和路径穿越漏洞,组合使用可实现匿名远程命令执行。

知识点:XXE Jar 协议利用

以前在做 CTF 题碰到过 Java XXE jar 协议利用的姿势,没想到在 CVE-2022-28219 漏洞分析过程中发现需要利用 Jar 协议 XXE 实现反序列化载荷上传。漏洞空间站已经总结了 Java XXE jar 协议利用的完整过程,这里不过多赘述。

反序列化漏洞

在 `\webapps\adap\WEB-INF\web.xml` 中找到 `CewolfSevlet` , Servlet 名称与 Desktop Central  CVE-2020-10189 反序列化漏洞相同:

`CewolfRender#doGet` 函数功能为输入 `img` 并渲染内容,其调用了 `storage.getChartImage` :

`Storage` 接口有多个实现类:

重点看 `de.laures.cewolf.storage.FileStorage` 的 `getChartImage` 函数执行反序列化操作:

同时 `getFileName` 未对 `id` 参数做安全检查,而其值可从 HTTP 请求 `img` 参数中直接获取:

发送 GET 请求,可以直接调用到 `readObj` 方法:

使用 `ysoserial` 生成 `cb` 利用载荷 `test.png`,成功弹出计算器:

上面的 `test.png` 是测试生成的,实际环境中肯定不存在,要想实现利用所以还需要与别的漏洞组合使用。在 Desktop Central  CVE-2020-10189 中是寻找到一个文件上传的接口来实现反序列化载荷文件生成的,在 Zoho ManageEngine ADAudit Plus 没有发现这样的接口,但是找到另一个 XXE 漏洞。

XXE 漏洞

补丁对比发现 `com.adventnet.sym.adsm.auditing.server.category.ProcessTrackingListener` 对 XML 解析进行了修补:

在 `parseTaskContent` 处下断点,利用漏洞简要分析了 API 触发流程,在 `web.xml` 中找到 `/api/agent/*` 定义:

`ADAPAgentAPIServlet#processRequest` 进行 API 请求处理:

调用 `RestAPIHandler#executeAgentRequest` 函数:

进入 `com.adventnet.sym.adsm.auditing.webclient.ember.api.agent.AgentHandler` ,执行 `Method.invoke` 进行动态调用:

进一步执行 `EventDataAdapter.notify` :

在 `EventDataAdapter#notify` 中将请求加入处理队列:

`AgentHandler` 定义了后台处理代码, `EventDataAdapter` 获取并处理队列:

经过检查调用 `ProcessMonitor#process` 函数:

在 `Process` 函数中执行 `addEventRow` :

最终执行到 `ProcessingTrackingListener#getEventRow` 方法:

在 `parseTaskContent` 中进行 XML 解析:

最终找到如下 XXE 触发代码,无法直接返回解析结果,类型为 Blind XXE 。

漏洞利用

前面已经讲到 XXE 漏洞可以通过 Jar 协议实现实现文件上传,正好可以利用漏洞上传一个包含构造反序列化载荷的压缩包。

再利用 Blind XXE 漏洞 `file://` 列出临时文件位置:

最后给 `img` 参数赋值为上传的反序列化载荷路径,利用反序列化漏洞实现命令执行:

由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,且听安全及文章作者不为此承担任何责任。

★且听安全-点关注,不迷路!

★漏洞空间站-优质漏洞资源和小伙伴聚集地!


文章来源: https://mp.weixin.qq.com/s?__biz=Mzk0NTU5Mjg0Ng==&mid=2247491480&idx=1&sn=a47322f3150461ec7c37d1926cd2afb1&chksm=c31250f9f465d9efee08941e25c2eafae22e2556eeb2255e0ce7aa4ab606b98a59a2a78968f2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh