CVE-2022-28219 Zoho ManageEngine ADAudit Plus XXE到RCE
太累了,老外三天发俩洞,学不过来了。
# 环境搭建
https://archives2.manageengine.com/active-directory-audit/7055/ManageEngine_ADAudit_Plus_x64.exe
需要搭建一个域环境,直接把安装adaudit的机器提升为域控就行。
# 分析
这个洞用了两个点串起来成了一个rce,分别是xxe和一个readObject的点。
1 Cewolf readObject
readObject是steventseeley挖掘的Cewolf反序列化,ADAudit仍然有这个servlet,并且init参数为FileStorage。
de.laures.cewolf.storage.FileStorage#getChartImage 这个地方存在readObject
详细的不讲了,看steventseeley在 https://srcincite.io/advisories/src-2020-0011/ 中提到的poc就懂了。
这个利用点需要在目标机器上上传一个序列化的payload,然后通过../
跨目录触发。在下面的xxe中会串起来利用。
2 xxe
xxe来自比较常规的DocumentBuilderFactory类
在com.adventnet.sym.adsm.auditing.server.category.ProcessTrackingListener#parseTaskContent中
来自于eventTbl参数的Task Content
或者Task New Content
键值会造成xxe。
然后找路由触发点。
先来看web.xml
/api/agent
对应com.adventnet.sym.adsm.auditing.webclient.ember.api.ADAPAgentAPIServlet#processRequest
跟如com.adventnet.sym.adsm.auditing.webclient.ember.api.RestAPIHandler#executeAgentRequest
通过正则匹配拿到对应的handler为com.adventnet.sym.adsm.auditing.webclient.ember.api.agent.AgentDataHandler#receiveData
在receiveData中通过读body取json,body取不到就从header中拿json,然后转成一个json数组jsonEventArray。接着如果是有效的json
交由com.adventnet.sym.adsm.auditing.server.EventDataAdapter#notify
消息队列处理。
notify只负责向eventQueue中加事件,真正处理队列消息的地方在其子类com.adventnet.sym.adsm.auditing.server.EventDataAdapter.EventDispatcher#run
中
在这里需要关注一点,如果原始data中DomainName等于null,那么DomainDnsName也会等于null。
这个地方是个大坑,如果没有给对正确的域环境的域名,那么在下一步就不会触发漏洞,接着看。
通过重组modData,最终交由com.adventnet.sym.adsm.auditing.server.ProcessMonitor#process
处理。
process函数会获取domainName对应的键值来迭代,最终调用addEventRows,如果你的传参DomainName为空,那么这个地方进入不了迭代循环,就触发不了漏洞。
跟进addEventRows
addEventRows会根据传入的CategoryId参数来获取不同的Listener,然后分发进入getEventRowList函数。
其中listener有很多,id为11的时候刚好是ProcessTrackingListener
接着走进com.adventnet.sym.adsm.auditing.server.category.ProcessTrackingListener#getEventRow
parseTaskContent到xxe的点
3 串联
有了xxe之后,需要了解一个jdk的老版本xxe trick。
这是2013年的议题
https://2013.appsecusa.org/2013/wp-content/uploads/2013/12/WhatYouDidntKnowAboutXXEAttacks.pdf
在这个议题中提到,通过xxe我们可以上传文件和列举目录,jdk8u131之后的修复commit在这里
可以使用这个ftp服务器来使文件驻留到目标服务器中。
https://github.com/pwntester/BlockingServer/blob/master/BlockingServer.java
监听
发请求包
|
|
此时文件被驻留在用户的临时目录下,我的用户是administrator,所以在C:/Users/Administrator/AppData/Local/Temp/
目录下
接着用这个项目来列目录,监听之后发请求包
|
|
我们的url.txt就被传到了jar_cache9091707163659467742.tmp这个文件。这个时候ftp服务端不要关,不然文件就被删除了。
接下来就是触发反序列化的
|
|
gadget可以用cb192
|
|
最后就是国际惯例
# 一些问题
- 如何获取DomainName
- c:/Users/Administrator/AppData/Local/Temp/jar_cache9091707163659467742.tmp 中administrator怎么判断?
第一个问题登录的时候可以获取到一部分的域名
/api/agent/configuration/getAgentServerInfo
接口中,如果配置了agent之后会有完整的fqdn
第二个问题可以用笨方法先列举C:\Users\
所有用户,然后列举用户的temp目录,有的不是在用户的temp,而是在c:/windows/temp下,或者直接Responder抓到当前用户名
|
|
# 修复
注释了CewolfServlet
修了xxe
加了guid校验
# 路径发现
尝试用自己改过的tabby来查一下看数据流走向,然后发现数据流在队列的情况中调用边断掉了。
上文中我们讲到com.adventnet.sym.adsm.auditing.webclient.ember.api.agent.AgentDataHandler#receiveData
将接受到的数据放入com.adventnet.sym.adsm.auditing.server.EventDataAdapter.EventQueue
队列,然后分派一个线程com.adventnet.sym.adsm.auditing.server.EventDataAdapter.EventDispatcher#run
做循环处理。
那么在call graph中,两部分调用边被截断了。所以这里应该从run开始做调用边查询
文笔垃圾,措辞轻浮,内容浅显,操作生疏。不足之处欢迎大师傅们指点和纠正,感激不尽。
如果你觉得这篇文章对你有所帮助,欢迎赞赏或关注微信公众号~