★且听安全★-点关注,不迷路!
★漏洞空间站★-优质漏洞资源和小伙伴聚集地!
Zoho 系列漏洞集合
漏洞信息
Zoho ManageEngine ADSelfService 6118 以前版本存在认证后目录穿越问题,可导致远程命令执行。
环境搭建
首先部署 Windows AD,然后安装 6118 版本软件,登录浏览器后软件会自动识别域:
安装结束后需要设置好邮件服务器:
漏洞分析
登录系统,存在一个 `schedule reports` 定期报告按钮:
点击 `Schedule New Reports` 添加定期报告:
将 `Storage Path` 设置为 `c:\testdata`:
使用 burpsuite 截取报文,将 `STORAGE_PATH` 修改为 `/../../../testreport`:
等待一段时间后, `C:\testreport` 目录被创建:
设置 `storage_path` 位置存在检查,但是为前段校验:
后端没有对存储路径进行认证:
利用方法
由于是个路径穿越问题,而且可以指定完全目录,可以通过填入共享文件夹进行NTLM攻击。将 `storage_path` 设置为共享文件夹。使用 `impacket` 服务获取域控 hash ,还可以尝试内网中继攻击。有兴趣获取完整漏洞分析与复现过程的小伙伴,请加入我们的漏洞空间站-致力于打造优质漏洞资源和小伙伴聚集地!
修复方式
新版本在 `saveReportScheduler` 中添加了 `isUNCFilePath` 校验:
路径不能以 `\\` 开头:
由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,且听安全及文章作者不为此承担任何责任。
★且听安全★-点关注,不迷路!****
★漏洞空间站★-优质漏洞资源和小伙伴聚集地!