《A Saga of Code Executions on Zimbra》RCE漏洞分析+复现过程

最新推荐文章于 2024-10-02 21:15:15 发布
原创 最新推荐文章于 2024-10-02 21:15:15 发布 · 1.2w 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

原文地址:
https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html
https://paper.tuisec.win/detail/8ac5a3d1efbf40b

下载Zimbra的包:

1.从地址https://www.zimbra.com/downloads/zimbra-collaboration-open-source/下载了Zimbra 8.6.0的开源版,并解压

2.解压packages/zimbra-core-***.rpm,得到zimbra核心库的内容,命令如下:

#需要自行安装rpm2cpio
rpm2cpio zimbra-core-8.6.0_GA_1153.RHEL6_64-20141215151155.x86_64.rpm | cpio -div

github上其实也有源码,但是jd-gui方便代码追踪
https://github.com/Grynn/zimbra-mirror

利用XXE读取密码:

CVE-2019-9670,文章中提示使用Autodiscover

查找zimbra-core中带有Autodiscover的类名

find . -name "*.jar"|awk '{print "jar -tvf "$1}' | sh -x | grep -i Autodiscover

更新一下命令(大家可以自己对比一下~):

find . -name "*.jar"|awk '{print "jar -tvf "$1"|awk '\''{
   
   print ""\""$1"\"""$0}'\''"}'  | sh | grep -i Autodiscover

PS:Windows下可以直接用Winrar之类的解压缩工具进行搜索。

找到如下两个包:

  • jar -tvf ./j2sdk-20140721/jre/lib/ext/nashorn.jar
    1758 Tue Jul 29 17:08:16 CST 2014 jdk/internal/dynalink/support/AutoDiscovery.class
  • jar -tvf ./lib/jars/zimbrastore.jar
    20149 Mon Dec 15 15:19:12 CST 2014 com/zimbra/cs/service/AutoDiscoverServlet.class

可以看出nashorn.jar是jre的中的jar包,应该不是我们的目标,而AutoDiscoverServlet带有Servlet字样,应是对外提供服务的。

在Zimbra的Wiki中https://wiki.zimbra.com/wiki/Autodiscover,给出了Autodiscover的地址为/Autodiscover/Autodiscover.xml(其实这个功能应该是exchange的)

向/Autodiscover/Autodiscover.xml POST一个空的xml:
在这里插入图片描述

发现提示:No Email address is specified in the Request,在AutoDiscoverServlet.class的doPost中找到如下代码,确认为Autodiscover功能对应类。
在这里插入图片描述

使用Jd-gui反编译代码,发现如下代码逻辑:

public void doPost(HttpServletRequest req, HttpServletResponse resp){
   
   
    ...
  reqBytes = ByteUtil.getContent(req.getInputStream(), req.getContentLength());
  ...
  String content = new String(reqBytes, "UTF-8");
  ...
  Document doc = docBuilder.parse(new InputSource(new StringReader(content)));
  ..
最低0.47元/天 解锁文章

200万优质内容无限畅学
Zimbra 远程代码执行漏洞(CVE-2019-9670)漏洞分析
4SecNet团队专栏
04-19 6448
漏洞的主要利用手法是通过。符号没有进行处理,就会导致上述类型的攻击,攻击者在发送上述类型的数据包的时候可以新建一个。的内容,这样一来处理数据会很方便,但同时也会有巨大的安全隐患:如果把目标。获取,其实只需要将上边的数据包中的字段修改下即可直接获取到高权限的。,在解析的过程中遇到实体的引用会直接获取相应的内容,即这里碰到。函数的处理流程,在整体的处理过程中对于请求的数据包,只针对。两个字段进行的解析,在解析的过程中会判断获取到的邮箱地址和。免费、简单,已经获得了广泛的支持,方便大众的使用。
Zimbra邮件服务器利用XXE漏洞与SSRF完成对目标的文件上传与远程代码执行
勤能补拙
04-06 7339
前言 原文地址:https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html 参考文档:https://blog.youkuaiyun.com/fnmsd/article/details/88657083 历史版本存在的RCE(远程代码执行)漏洞: CVE-2013-7091本地文件披露漏洞,影响范围为8.0.2以下版本...
Zimbra CVE-2019-9670 XXE + CVE-2019-9621 SSRF 漏洞复现
部分学习记录
03-12 3259
炒冷饭复现:cve-2019-9670 xxe + cve-2019-9621 ssrf
关于zimbra复现以及突破
weixin_30721077的博客
04-20 935
Zimbra未登录RCE漏洞利用 首先我是根据这个PDF进行复现的,但是复现过程出现很多问题 首先使用这个XXE读取文件 <!DOCTYPE xxe [ <!ELEMENT name ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <Autodiscover xmlns="http://sc...
zimbra漏洞利用
kzyyx的博客
08-31 4635
记一次渗透测试zimbra漏洞利用 当时通过界面判断判断出开发利用zimbra搭建的网站。zimbra又存在多个漏洞。 1.首先通过利用了CVE-2019-9670 XXE漏洞来尝试读取/etc/passwd 读取文件成功,证明此漏洞可以被成功利用。 2.接下来读取zimbra的配置文件获取密码,因为配置文件时xml文件,因此需要使用外部dtd获取信息。 请求接口:Post:/Autodiscover/Autodiscover.xml Zimbra配置文件位置为/conf/localconfig.xml 在
黑客正在利用Zimbra ZCS中的未修复RCE漏洞
smellycat000的专栏
10-10 1019
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Zimbra 公司的企业协作软件和邮件平台中存在一个严重的远程代码执行漏洞且正遭活跃利用,目前尚不存在补丁。该漏洞的编号是CVE-2022-41352。该漏洞的CVSS评分为9.8,可导致攻击者上传任意文件并在受影响安装程序上执行恶意操作。网络安全公司Rapid7 在分析文章中指出,“该漏洞是因为Zimbra的反病毒引擎 Amavis扫描进站邮件...
Java采购管理信息系统源码-elastic-stack:使用集中式日志记录将Zimbra与ElasticStack结合使用的指南
06-05
Java采购管理信息系统源码Zimbra 弹性堆栈 本指南介绍了如何通过使用基于 RSyslog 的集中式日志记录将 Elastic Stack 与 Zimbra 结合使用。 将 Elastic Stack 与集中式日志记录结合使用的主要好处: 使搜索和分析历史日志变得容易。 日志事件的可视化以收集见解。 存储日志以供取证研究,以防被黑客入侵。 正常运行时间和证书监控。 Zimbra 和 Elastic Stack 都由许多组件组成。 下图概述了软件组件如何协同工作以从原始日志文件进行可视化。 以最简单的形式,您可以在单个服务器设置中安装 Zimbra,并为所有 Elastic Stack 组件添加另一个服务器。 当然,如果您计划向上扩展,您可以根据需要将多个软件组件拆分到更多虚拟机中。 带有 Elastic Stack 和 RSyslog 的 Zimbra 集群示例。 Zimbra 服务器的基本 Kibana 仪表板如下所示: Zimbra 9 安装上的示例 Elastic Stack Dashboard。 如果没有 Elastic Stack,您的服务器只会保留 Zimbra 服务
zimbra rce 漏洞复现
weixin_40709439的博客
05-12 7480
本地搭建了好久,虚拟机突然蹦了,。。。 上钟馗之眼和shodan找了个目标 第一步,利用了CVE-2019-9670 XXE漏洞来读取配置文件 Zimbra配置文件位置为/conf/localconfig.xml 根据《A Saga of Code Executions on ZimbraRCE漏洞分析 https://blog.youkuaiyun.com/fnmsd/article/details/88...
Zimbra
zhoumouren88的博客
08-27 1341
第一步:利用XXE读取配置文件 这里利用了CVE-2019-9670漏洞来读取配置文件,你需要在自己的VPS服务器上放置一个dtd文件,并使该文件能够通过HTTP访问。为了演示,我在GitHub上创建了一个仓库,从GitHub上获取dtd文件。 上图中用红框圈起来的就是zimbra账号的密码,先记下来以后会用到。 dtd文件内容如下: 1 <!ENTITY % file SYSTEM "file:../conf/localconfig.xml"> 2 <!ENTITY...
TA473 使用 Zimbra 漏洞攻击欧洲与北约的邮件系统
wangluoanquan111的博客
08-03 3486
研究人员跟踪发现了部分可能是自定义 CSRF JavaScript 代码的实例,这些代码通过 CVE-2022-27926 来进行攻击。TA473 将其作为URL 超链接嵌入钓鱼邮件的正文中,这些 CSRF JavaScript 代码会由存在漏洞的邮件服务器执行。这些 JavaScript代码复制并依赖于模拟本机 Web 邮件门户的 JavaScript 代码,以返回攻击目标的用户名、密码与 CSRF Token 等关键 Web请求详细信息。
严重 Zimbra RCE 漏洞遭大规模利用(CVE-2024-45519)
最新发布
网络研究观
10-02 2302
攻击者正在积极利用 CVE-2024-45519,这是一个严重的 Zimbra 漏洞,该漏洞允许他们在易受攻击的安装上执行任意命令。
CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE
include_voidmain的博客
07-07 3399
CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE
zimbra邮箱在线口令爆破脚本
02-23
利用python编写的脚本,用于zimbra邮箱服务器的用户口令在线爆破。
记录东方财富网的自定义字体反爬
weixin_34332905的博客
04-13 1368
链接:http://data.eastmoney.com/bbsj/201903/yjbb.html 数据内容是方块,需要找到字体文件。 抓包分析,第一条是个api,可以直接获取明文数据,为研究技术这里不用这个,第三条是字体文件 用requests请求数据,抄一遍headers,试着把get改成用post,post成功,但数字是乱码,所以需要把乱码改成数字 #把heade...
Zimbra xxe+ssrf导致getshell
一个安全研究员
03-26 6642
分析的第一个java漏洞
[EXP]CVE-2019-9621 Zimbra<8.8.11 GetShell Exploit(配合Cscan可批量)
weixin_30414245的博客
05-06 1184
发现时间 2019年03月18日 威胁目标 采用Zimbra邮件系统的企业 主要风险 远程代码执行 攻击入口 localconfig.xml 配置文件 使用漏洞 CVE-2019-9621 受影响应用 ZimbraCollabora...
[工具使用]黑暗引擎FOFA
热门推荐
网络安全知识分享
08-29 3万+
黑暗引擎FOFAFOFA(点我进入)逻辑运算符搜索子域名domain搜索指定内容的host全部域名bodycert搜索选定应用的网站搜索指定开放端口的IP搜索指定协议的IP搜索IP或者网段的信息搜索指定CSS/JS网站常用的一些内容其他 FOFA(点我进入) 官网这样描述:FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。 简单理解就是,一个本土加强版shodan,知道某产品在互联网的部署情况、
CVE-2022-27925 Zimbra任意文件上传漏洞复现
热爱学习,喜欢折腾!
10-26 6112
Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。Zimbra Collaboration(又称ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存档并从中提取文件,具有管理员权限的认证用户可以将任意文件上传到系统中,从而导致目录遍历或远程代码执行。
Zimbra漏洞
公众号shadow sock7
08-19 1702
参考: https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html https://nvd.nist.gov/vuln/detail/CVE-2019-9670 https://nvd.nist.gov/vuln/detail/CVE-2016-9924 XXE CVE-2016-9924, CVE-2018-20...
Spotlight_on_Oracle实战:SQL语句过滤与监控分析
"本文主要介绍了Spotlight_on_oracle这一Oracle数据库监控和诊断工具的使用与分析,强调了其实时监控、自动问题侦测与解决、实时显示数据库活动等功能。" 在Oracle数据库管理中,Spotlight_on_oracle是一个强大的...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值