CVE-2022-35405 Zoho Password Manager Pro XML-RPC RCE

最新推荐文章于 2024-06-20 16:17:06 发布
最新推荐文章于 2024-06-20 16:17:06 发布
阅读量605 收藏
点赞数
分类专栏: 漏洞分析及复现 文章标签: web安全
原文链接:https://xz.aliyun.com/t/11578#toc-0
版权

声明

出品|先知社区(ID:Y4er)

以下内容,来自先知社区的Y4er作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

环境

https://archives2.manageengine.com/passwordmanagerpro/12100/ManageEngine_PMP_64bit.exe

补丁

https://archives2.manageengine.com/passwordmanagerpro/12101/ManageEngine_PasswordManager_Pro_12100_to_12101.ppm

补丁diff

org.apache.xmlrpc.parser.SerializableParser#getResult 关了反序列化

图片

分析

通过漏洞描述可知为XML-RPC的反序列化RCE

图片

回顾CVE-2020-9496 Apache Ofbiz XMLRPC RCE漏洞,漏洞由XmlRpcRequestParser解析xml时触发,由此我们用tabby来查询谁调用了XmlRpcRequestParser

图片

从路径的源头查询org.

apache.xmlrpc.webserver.PmpApiServlet#doPost

图片

调用super的post函数org.

apache.xmlrpc.webserver.XmlRpcServlet#doPost

图片

继续跟进

org.apache.xmlrpc.webserver.XmlRpcServletServer#execute

图片

继续调用

org.apache.xmlrpc.server.XmlRpcStreamServer#execute

图片

其中getRequest函数会从原始request构建

XmlRpcRequest org.apache.xmlrpc.server.XmlRpcStreamServer#getRequest

图片

在这里就开始解析xml,触发rpc了。poc和CVE-2020-9496一样,贴一下堆栈。

getResult:36, SerializableParser (org.apache.xmlrpc.parser)
endValueTag:78, RecursiveTypeParserImpl (org.apache.xmlrpc.parser)
endElement:185, MapParser (org.apache.xmlrpc.parser)
endElement:103, RecursiveTypeParserImpl (org.apache.xmlrpc.parser)
endElement:165, XmlRpcRequestParser (org.apache.xmlrpc.parser)
endElement:-1, AbstractSAXParser (org.apache.xerces.parsers)
scanEndElement:-1, XMLNSDocumentScannerImpl (org.apache.xerces.impl)
dispatch:-1, XMLDocumentFragmentScannerImpl$FragmentContentDispatcher (org.apache.xerces.impl)
scanDocument:-1, XMLDocumentFragmentScannerImpl (org.apache.xerces.impl)
parse:-1, XML11Configuration (org.apache.xerces.parsers)
parse:-1, XML11Configuration (org.apache.xerces.parsers)
parse:-1, XMLParser (org.apache.xerces.parsers)
parse:-1, AbstractSAXParser (org.apache.xerces.parsers)
parse:-1, SAXParserImpl$JAXPSAXParser (org.apache.xerces.jaxp)
getRequest:76, XmlRpcStreamServer (org.apache.xmlrpc.server)
execute:212, XmlRpcStreamServer (org.apache.xmlrpc.server)
execute:112, XmlRpcServletServer (org.apache.xmlrpc.webserver)
doPost:196, XmlRpcServlet (org.apache.xmlrpc.webserver)
doPost:117, PmpApiServlet (org.apache.xmlrpc.webserver)
service:681, HttpServlet (javax.servlet.http)
service:764, HttpServlet (javax.servlet.http)
internalDoFilter:227, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:53, WsFilter (org.apache.tomcat.websocket.server)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:76, ADSFilter (com.manageengine.ads.fw.filter)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:300, PassTrixFilter (com.adventnet.passtrix.client)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:414, SecurityFilter (com.adventnet.iam.security)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:34, NTLMV2CredentialAssociationFilter (com.adventnet.authentication)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:155, NTLMV2Filter (com.adventnet.authentication)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:118, MSPOrganizationFilter (com.adventnet.passtrix.client)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:149, PassTrixUrlRewriteFilter (com.adventnet.passtrix.client)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:109, SetCharacterEncodingFilter (org.apache.catalina.filters)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:32, ClientFilter (com.adventnet.cp)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:80, ParamWrapperFilter (com.adventnet.filters)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:51, RememberMeFilter (com.adventnet.authentication.filter)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
doFilter:65, AssociateCredential (com.adventnet.authentication.filter)
internalDoFilter:189, ApplicationFilterChain (org.apache.catalina.core)
doFilter:162, ApplicationFilterChain (org.apache.catalina.core)
invoke:197, StandardWrapperValve (org.apache.catalina.core)
invoke:97, StandardContextValve (org.apache.catalina.core)
invoke:540, AuthenticatorBase (org.apache.catalina.authenticator)
invoke:135, StandardHostValve (org.apache.catalina.core)
invoke:92, ErrorReportValve (org.apache.catalina.valves)
invoke:687, AbstractAccessLogValve (org.apache.catalina.valves)
invoke:261, SingleSignOn (org.apache.catalina.authenticator)
invoke:78, StandardEngineValve (org.apache.catalina.core)
service:357, CoyoteAdapter (org.apache.catalina.connector)
service:382, Http11Processor (org.apache.coyote.http11)
process:65, AbstractProcessorLight (org.apache.coyote)
process:895, AbstractProtocol$ConnectionHandler (org.apache.coyote)
doRun:1681, Nio2Endpoint$SocketProcessor (org.apache.tomcat.util.net)
run:49, SocketProcessorBase (org.apache.tomcat.util.net)
processSocket:1171, AbstractEndpoint (org.apache.tomcat.util.net)
completed:104, SecureNio2Channel$HandshakeReadCompletionHandler (org.apache.tomcat.util.net)
completed:97, SecureNio2Channel$HandshakeReadCompletionHandler (org.apache.tomcat.util.net)
invokeUnchecked:126, Invoker (sun.nio.ch)
run:218, Invoker$2 (sun.nio.ch)
run:112, AsynchronousChannelGroupImpl$1 (sun.nio.ch)
runWorker:1191, ThreadPoolExecutor (org.apache.tomcat.util.threads)
run:659, ThreadPoolExecutor$Worker (org.apache.tomcat.util.threads)
run:61, TaskThread$WrappingRunnable (org.apache.tomcat.util.threads)
run:748, Thread (java.lang)

合影留念

图片

poc不放了 懂得都懂。

曲折

其实刚开始找的并不直接是漏洞点,而是在找xml parse的点

com.adventnet.tools.prevalent.InputFileParser#parse

图片

经过多次调试发现这个类自己实现了startElement和endElement,并不会调用endValueTag(),进而没有type parse一说,所以根本不会触发反序列化。

后来重新看了历史的漏洞文章,换了思路直接找org.apache.xmlrpc.webserver.XmlRpcServlet的引用就发现了漏洞点,瞬间感觉自己太蠢了。u1s1,静态软件分析工具还是有用。

长白山攻防实验室
关注
专栏目录
xmlrpc.php 漏洞利用
墨痕诉清风的博客
10-10 8040
WordPress采用了接口.并且通过内置函数实现了该接口内容。所以,你可要通过客户端来管理Wordpress。通过使用WordPress XML-RPC, 你可以使用业界流行博客客户端来发布你的WordPress日志和页面。同时,XML-RPC 也可使用插件来自定义你的规则。
Apache OFBiz XML-RPC远程代码执行漏洞(CVE-2023-49070)漏洞复现
qq_53733257的博客
12-11 1758
CVE-2023-49070 漏洞复现
Apache Ofbiz XMLRPC RCE漏洞(CVE-2020-9496)复现
玄道的网安博客
12-26 911
简介 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 影响版本 Apache Ofbiz:< 17.12.04 环境搭建 docker pull andy..
Apache OFBiz中的XML-RPC问题
最新发布
好记性不如烂笔头
06-20 1050
从Apache OFBiz的XML-RPC反序列化漏洞CVE-2020-9496中,学习该知识点,并学习CVE-2023-49070如何绕过修复。顺便提一下Apache OFBiz最新的几个漏洞CVE-2023-51467、CVE-2024-32113和CVE-2024-36104。这部分内容不是XML-RPC的重点,但是既然存在逻辑连贯性,文章里就简单写一下。
Goby漏洞更新|ZOHO ManageEngine Password Manager Pro 远程代码执行漏洞(CVE-2022-35405
m0_46699477的博客
04-13 299
CVE-2022-35405ZOHO ManageEngine Password Manager Pro是美国卓豪(ZOHO)公司的一款密码管理器。ZOHO ManageEngine Password Manager Pro 12101 之前版本和PAM360 5510之前版本存在安全漏洞,攻击者可执行任意命令获取服务器权限。
漏洞复现--Apache Ofbiz XML-RPC RCECVE-2023-49070)
qq_53003652的博客
12-07 1891
近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现
Shadow_DAI_990101的博客
08-23 3063
CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现
CISA提醒修复Zoho ManageEngine RCE漏洞
smellycat000的专栏
09-27 327
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士摘要本周四,美国网络安全和基础设施安全局 (CISA) 提醒称,网络攻击活动正在利用最近修复的一个Zoho ManageEngine 漏洞 (CVE-2022-35405)。Zoho 公司在2014年收购企业IT软件ManageEngine,后者未身份和访问、端点、企业服务、安全信息和实践以及IT运营提供管理能力。CVE-2022-35405的C...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个重要的安全漏洞:CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
春秋云境 CVE-2022-4230 夺旗
05-02
### 春秋云境 CVE-2022-4230 夺旗知识点解析 #### 一、漏洞概述 **CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时...
Microsoft Exchange CVE-2022-41040 & CVE-2022-41082 Nmap检测脚本
10-03
CVE-2022-41040 Microsoft Exchange Server权限提升漏洞 和 CVE-2022-41082 Microsoft Exchange Server 远程执行代码漏洞 Nmap漏洞检测脚本 使用发发: -- @usage -- nmap --script proxynotshell_checker.nse -p...
CVE-2012-2122: MySQL身份认证漏洞
Yatere的天平秤
06-11 1783
http://seclists.org/oss-sec/2012/q2/493 我今天早上打开电脑,在seclists中看到一个很惊人的thread:http://seclists.org/oss-sec/2012/q2/493MySQL爆出了一个很大的安全漏洞,几乎影响5.1至5.5的所有版本。出问题的模块是登录时密码校验的部分(password.c),在知道用户名的情况下(如
无胁科技-TVD每日漏洞情报-2022-8-4
wuthreat无胁科技的博客
08-04 488
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2022-28901;漏洞编号:CVE-2022-35405;.
Mysql漏洞处理之升级版本到5.7.42/5.7.43过程指导手册
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
06-20 1万+
某次安全漏扫,发现MySQL大量漏洞,基于Mysql之用于内网,且版本确实有点旧,考虑升级,综合漏洞分析,只能升级到最新版5.7.42和8.0.33,现场环境:Mysql 5.7.28、5.7.20和mysql:8.0.21。附录:[mysql5.7和mysql8.0区别(https://www.cnblogs.com/harda/p/16497988.html)、1)可以获取到MySQL/MariaDB/Percona/TiDB Server版本信息,版本泄露,隐藏版本即可。
网络靶场实战-RouterOS漏洞分析(CVE-2022-45315)
蛇矛实验室
12-24 4097
这一小节,我们简单了解了MikroTik routerOS的消息传递机制,以及学习了越界访问漏洞的原理。
centos服务器环境搭建
anananajiushiwo的博客
06-07 2890
设备准备1.一个U盘2.一个小型服务器3.一个无线路由器4.网线,鼠标,键盘等一.下载镜像首先,我们在centos官网下载centos8镜像: 网址:https://www.centos.org/download/这里我选择的是这个:二.制作系统盘 准备一个20个g左右的U盘,用下面的软件进行烧录:https://download.csdn.net/download/anananajiushiwo/85576599 出现下图,则烧录成功 三.系统制作准备一台服务器,插上U盘进入bios界面。 选择运行U盘后
Apache Spark 命令注入漏洞(CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞(CVE-2022-33891) Apache Spark 命令注入漏洞(CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值