长亭百川云 - 文章详情

CVE-2022-29457 Zoho ManageEngine ADSelfService远程命令执行漏洞

自在安全

66

2024-07-13

★且听安全-点关注,不迷路!

★漏洞空间站-优质漏洞资源和小伙伴聚集地!

Zoho 系列漏洞集合

https://mp.weixin.qq.com/mp/appmsgalbum?\_\_biz=Mzg3MTU0MjkwNw==&action=getalbum&album\_id=2123933817441665027&scene=173&from\_msgid=2247489341&from\_itemidx=1&count=3&nolastread=1#wechat\_redirect

漏洞信息

Zoho ManageEngine ADSelfService 6118 以前版本存在认证后目录穿越问题,可导致远程命令执行。

环境搭建

首先部署 Windows AD,然后安装 6118 版本软件,登录浏览器后软件会自动识别域:

安装结束后需要设置好邮件服务器:

漏洞分析

登录系统,存在一个 `schedule reports` 定期报告按钮:

点击 `Schedule New Reports` 添加定期报告:

将 `Storage Path` 设置为 `c:\testdata`:

使用 burpsuite 截取报文,将 `STORAGE_PATH` 修改为 `/../../../testreport`:

等待一段时间后, `C:\testreport` 目录被创建:

设置 `storage_path` 位置存在检查,但是为前段校验:

后端没有对存储路径进行认证:

利用方法

由于是个路径穿越问题,而且可以指定完全目录,可以通过填入共享文件夹进行NTLM攻击。将 `storage_path` 设置为共享文件夹。使用 `impacket` 服务获取域控 hash ,还可以尝试内网中继攻击。有兴趣获取完整漏洞分析与复现过程的小伙伴,请加入我们的漏洞空间站-致力于打造优质漏洞资源和小伙伴聚集地!

修复方式

新版本在 `saveReportScheduler` 中添加了 `isUNCFilePath` 校验:

路径不能以 `\\` 开头:

由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,且听安全及文章作者不为此承担任何责任。

★且听安全-点关注,不迷路!****

★漏洞空间站-优质漏洞资源和小伙伴聚集地!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2