本文讲述的是作者通过研究,发现美国卓豪(ZOHO)公司的终端用户密码管理软件ZOHOManageEngineADSelfServicePlus在之前的版本处理用户输入不当,可形成远程未授权代码执行漏洞(CVE--),导致攻击者可利用该漏洞,通过枚举方式入侵相关的域控活动目录(ActiveDirectory)。
发现目标当我用Aquatone在做前期探测时,发现在两个不同的众测项目中,竟然有两个完全不同的子域名网站都出现了以下相同的ZOHOManageEngineADSelfServicePlus登录界面:
ZOHOManageEngineADSelfServicePlus大多用于组织机构大中型网络中,用于用户更改管理其服务器活动目录(ActiveDirectory)的账户密码。
由于ZOHOManageEngineADSelfServicePlus与组织机构域控服务器上的活动目录(ActiveDirectory)相关,因此,我觉得它的漏洞发现可能会影响很多公司,值得多下点功夫研究研究。
源码分析好在ZOHOManageEngineADSelfServicePlus有30天的试用版可下载使用,因此,我决定把它安装在我本地进行一些测试,特定是从源码层面对它进行一些分析。
ADSelfServicePlus是JAVA架构的,所以我用BytecodeViewer对下载好的应用源码进行编辑测试:
从中,我对ADSelfServicePlus进行了深入细致的分析,涉及功能应用、早先漏洞修复部份和关联代码等部份。之后,我决定构建一个应用端点关键字字典对其进行枚举测试。
漏洞发现Java反序列化漏洞在我的枚举测试过程中,我在一个web.xml文件中看到了以下CewolfServlet相关的代码:
servlet-mappingservlet-nameCewolfServlet/servlet-nameurl-pattern/cewolf/*/url-pattern/servlet-mapping
我在谷歌上一查找,发现卓豪(ZOHO)的另一个系列产品中早前就存在cewolf服务端的RCE漏洞,其漏洞点在于img参数可路径遍历,那这里我们也来试试看。
在我本机的ADSelfServicePlus系统中,我通过构造了一个evil.file文件,然后通过成功的浏览
本文编辑:佚名
转载请注明出地址 http://www.smartcarf.com/smartcarcx/4738.html
